News 12.05.2000, 14:45 Uhr

W32/SouthPark-A

Die kultige TV-Serie «Southpark» wurde erneut als Viren-Sujet missbraucht.
Diese Viren-Kreation ist nur dem Namen nach mit dem PrettyPark-Wurm zu verwechseln. Der Southpark-Wurm wird, zumindest in dieser Variante, hauptsächlich in der deutschsprachigen Welt auftauchen. Der Betreff der Mail lautet: "Servus Alter!", der Mail-Text will mit diesen Worten zum Öffnen der Beilage verführen: "Hier ist das Spiel, das du unbedingt wolltest! :-)". Die Beilage, die den Virus enthält, heisst "South Park.exe" und kommt mit einem unspektakulären Symbol daher. Wenn die Beilage ausgeführt wird, verschickt sich der Wurm - wie gehabt - selber an die Adressen im Outlook Adressbuch.
Der Virus kopiert sich nach C:\Winguard.exe und ändert die Registry so, damit er beim Windows-Start automatisch geladen wird. Findet er eine nicht schreibgeschützte Diskette, kopiert er sich selber dort drauf und macht sie bootbar. Wird ein PC ab einer solchen Diskette gestartet, kopiert sich der Wurm in den Windows Autostart-Ordner um diesen ebenfalls anzustecken.
Ausserdem erstellt der Southpark-Wurm Dateien mit den Namen C:\WINDOWSSTART.DLL and C:\WINDOWSSYSTEM.DLL. Die erstere enthält einen Zähler, der darüber Buch führt, wie oft der PC seit der Infektion gestartet wurde. Entspricht dieser der Zahl "1", erstellt der Wurm eine Datei mit dem Namen SWAPFILE.VXD und schreibt dort Datenmüll hinein, bis die Festplatte voll ist. Die Datei WINDOWSSYSTEM.DLL enthält das Infektions-Datum. TrendMicro [1] erklärt, wie man den Wurm entfernen kann.



Kommentare
Es sind keine Kommentare vorhanden.