News 13.08.2001, 15:15 Uhr

W32/Parrot (alias Crackly)

In manchen Fällen rächen sich Virenschreiber mit ihren «Werken» an Virenexperten – so geschehen beim Parrot-Wurm.
Wie Sophos schreibt [1] trifft der W32/Parrot-Wurm mit dem Betreff "Parrot screensaver" ein. Im Mail-Text heisst es "Hehe hey, look at this screensaver :)" und die Beilage heisst "parrot.scr".
Wer die Datei öffnet, infiziert seinen PC, woraufhin sich der Wurm an alle Adressen im Outlook-Adressbuch verschickt. Zudem installiert Parrot ein mIRC Script, welches versucht, die Datei C:\parrot.scr an andere Benutzer des Internet Relay Chat zu senden. Ferner ändert der Schädling die Endungen von EXE-Dateien im Windows-Ordner auf .PRT und kopiert sich unter deren Namen in den Windows-Ordner.
Parrot legt auf die Festplatte auch eine MP3-Datei ab, die sich jedesmal automatisch abspielt, wenn der Wurm bzw. ein Programm gestartet wird. Durch eine zusätzlich abgelegte VBS-Datei wird eine Dialogbox angezeigt, welche beleidigende Sprüche über den bei Sophos tätigen Antivirus-Prominenten Graham Cluley enthält.
Um sich beim PC-Start jeweils automatisch zu laden, trägt sich der Parrot-Wurm in die folgenden Registry-Schlüssel ein:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Bei Network Associates (McAfee) ist derselbe Wurm unter dem Namen W32/Crackly bekannt [2].



Kommentare
Es sind keine Kommentare vorhanden.