W32.Music (Troj_Music)

Pünktlich zur Weihnachtssaison 2000 tauchen die ersten Weihnachts-Viren auf. Diese machen sich die Tatsache zu Nutze, dass viele Benutzer einander in dieser Zeit haufenweise elektronische Weihnachtsgrüsse schicken. Bei soviel Weihnachtspost wird ein Virus schnell übersehen! Der W32.Music-Wurm [1] befällt übrigens nur Rechner, auf denen Windows 98 installiert ist oder Windows 95 mit der Visual Basic Runtime 5. Benutzer von Windows NT oder Windows 2000 sind also in diesem Fall nicht betroffen.

Die E-Mail mit der schädlichen Beilage sieht ungefähr so aus:

An: All my friends

Von: Test Mail

Betreff: Testing to send file

Mailtext: Hi, just testing email using Merry Christmas music file, not bad music

Die Dateibeilage mit dem eigentlichen Virus heisst Music.exe, Music.com oder Music.zip, könnte aber auch mit anderen Dateinamen daherkommen. Deshalb empfehlen wir prinzipiell jede Mail-Beilage nach Viren zu scannen, oder noch besser: sie gar nicht erst auszuführen. Wird die Datei trotzdem ausgeführt, erscheint untenstehendes Bild und es erklingt eine Midi-Datei eines amerikanischen Weihnachtslieds ("We wish you a merry chrismas"). Der Virus erstellt Dateien und verändert die Registry. Zudem durchsucht der Virus mit Hilfe des "Microsoft Internet Account Managers" das Windows Adressbuch und alle DBX-Mailbox-Dateien. Die E-Mail-Adressen, an die er sich verschickt, speichert er in C:\WINDOWS\SYSTEM\SYSDBX.DLL. Anhand dieser Datei kann der Inhaber eines infizierten PCs später herausfinden, wen er von seinem PC aus angesteckt hat.

Ist Ihr PC infiziert, entfernen Sie die Registry-Einträge des Virus, wie bei TrendMicro [2] beschrieben. Scannen Sie Ihre Festplatten mit einem aktualisierten Antivirenprogramm und löschen Sie alle Dateien, die der Virenscanner als "Music-verseucht" deklariert.