News 14.05.2001, 13:00 Uhr

VBS/Hard-A

Dieser VBS-Wurm tarnt sich als Viren-Information von Symantec.
Der Wurm namens VBS/Hard.A tarnt sich als Vireninformation des Norton-Herstellers Symantec. Die Mail enthält den Wurm als Beilage in einer Datei namens "www.symantec.com.vbs" und sieht so aus:
Von: <warning@symantec.com>
Betreff: FW: Symantec Anti-Virus Warning
Mail-Text:
--------------------
Hello,
There is a new worm on the Net.
This worm is very fast-spreading and very dangerous!
Symantec has first noticed it on April 04, 2001.
The attached file is a description of the worm and how it replicates itself.
With regards,
F. Jones
Symantec senior developer
--------------------
Wird die schädliche Beilage geöffnet, erstellt der VBS.Hard-Wurm in C:\ einige Dateien, darunter auch eine namens "www.symantec.com.hta". Diese imitiert das Aussehen einer Virenbeschreibungs-Webseite von Symantec über einen Wurm namens "VBS.AmericanHistoryX_II@mm", den es zudem gar gibt.
Um sich anschliessend an alle Mail-Adressen im Outlook-Express-Adressbuch zu versenden, sammelt der Wurm die dazu notwendigen Informationen in der Datei C:\symantec_send.vbs.
In der Registry werden einige Schlüssel kreiert, einer davon bewirkt, dass der Wurm bei jedem PC-Start mitgeladen wird. Am 24. November zeigt der Wurm eine Message-Box mit dem Titel "Some shocking news" an, und zwar mit diesem Text:
"Don't look surprised!
It is only a warning about your stupidity
Take care!
[OK]"
Seien Sie bei jeder Mail-Beilage misstrauisch. Antivirus-Hersteller würden ungefragt keine Beilagen an ihre Kunden versenden. Sollte Ihr PC schon infiziert sein, updaten Sie Ihren Virenschutz und scannen Sie damit die Festplatte (alle Dateien). Löschen Sie alle als infiziert gemeldeten Dateien und überprüfen Sie auch, ob Ihr Virenscanner alle einschlägigen Files erwischt hat. Dabei hilft Ihnen eine recht gute Beschreibung von NAI (McAfee) über alle von diesem Wurm kreierten Dateien und Registry-Einträge [1].
Nützliche Quellen:
Bei Symantec [2] finden Sie einen Screenshot der Messagebox, die auf infizierten Systemen am 14. November angezeigt wird.
Gemäss Beschreibung des Kaspersky-Labors [3] könne der Wurm sich nur auf Systemen mit installiertem Windows Scripting Host einnisten. Deswegen lohnt sich die Verwendung des kostenlosen Zusatztools namens "NoScript.EXE", welches Symantec auf seiner Webseite anbietet [4]. Damit lässt sich der Windows Scripting Host nach Belieben aus- und einschalten.



Kommentare
Es sind keine Kommentare vorhanden.