Bat_Simpsons (alias Troj.BAT.Simpsons)

Dies ist ein einfacher aber zerstörerischer BAT Trojaner, der alle Dateien der Laufwerke C, A, B und D löscht. Um die Dateien zu löschen, benutzt er den DOS-Befehl "DELTREE" mit dem Schalter "/Y". Der Trojaner versucht dann die Dateien SIMPSONS.* zu löschen, die aber wegen des vorher ausgeführten DELTREE-Befehles nicht mehr vorhanden sind.

Das Batch-File steckt in einer selbstentpackenden Zip-Datei mit dem Namen SIMPSONS.EXE. Beim Ausführen werden gleichzeitig zwei Winzip-Meldungen angezeigt, die darauf hinweisen, dass der Ersteller der selbstentpackenden Datei seine WinZip-Version nicht bezahlt, bzw. registriert hat. Der Text der einen Box mit dem Titel "WinZip Self-Extractor [SIMPSONS.EXE]" lautet:

"Unautorized reproduction or distribution of this program, or any portion of it, may result in a severe civil and criminal penalties, and will be prosecuted to the maximum extent possible under the law."

Die andere Box mit dem Titel "WinZip Self-Extractor" enthält den Text:

"This copy of WinZip Self-Extractor is NOT LICENSED for distribution. Any distribution of this file is prohibited and is a violation of US Copyright law and international treaty. The registered version does not display this message."

Falls Sie diese zwei Meldungen sehen sollten, und steht im Titelbalken der einen Box unter anderem SIMPSONS.EXE, klicken Sie auf keinen Fall auf OK! Schalten Sie den PC sofort aus (Power-Knopf) und löschen Sie die Datei nach dem nächsten PC-Start. Würden Sie die WinZip-Meldung bestätigen, wäre das der Zeitpunkt, an dem zwei Dateien namens SIMPSONS.BAT und SIMPSONS.BMP entpackt würden. Anschliessend würde die Datei SIMPSONS.BAT gestartet, die dann den Löschbefehl ausführte.

Sobald die Datei DELTREE.EXE oder die Batchdatei selber gelöscht wird, stoppt der Löschvorgang - was aber zu spät ist, um den Schaden ohne Neuinstallation zu beheben. die Datei SIMPSONS.BMP betreibt übrigens Etikettenschwindel. Sie ist keine Bild-Datei sondern ein weiteres Zip-Archiv, welches aber harmlose Dateien enthält. Info von Computer Associates [1] (CA).