News 27.09.2001, 14:45 Uhr

W32/Vote (mit Varianten)

Dieser Wurm nimmt Bezug auf das WTC (World Trade Center) und reitet damit auf der Welle des allgemeinen Interesses bezüglich der Terror-Anschläge in den USA.
Die Antivirus-Hersteller sind sich diesmal gar nicht einig, ob sie es beim Vote-Wurm mit einem sich schnell verbreitenden Schädling zu tun haben oder nicht. TrendMicro hatte bei einer der Varianten einen "Severe Outbreak" [1] gemeldet, während McAfee [2] eher gelassen von "very few samples" (sehr wenigen Exemplaren) spricht. Und bei F-Secure [3] geht man sogar davon aus, dass "dieser einfache Wurm offensichtlich von einem Teenager geschrieben wurde".
Variante A:
Die Virenbeilage namens WTC.EXE trifft in einer Mail mit diesen Merkmalen ein:
Betreff: Fwd:Peace BeTweeN AmeriCa And IsLaM !
Mail-Text:
Hi
iS iT A waR Against AmeriCa Or IsLaM !?
Let's Vote To Live in Peace!
Wird die Beilage (WTC.EXE) ausgeführt, erstellt der Wurm im Windows-Ordner eine Datei namens MixDaLaL.vbs. Diese wird sofort gestartet, worauf sie beginnt, alle HTM- und HTML-Dateien auf allen verbundenen Netzlaufwerken auf "hidden" (versteckt) zu setzen und mit diesem Text zu überschreiben:
"AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You"
W32/Vote verbreitet sich mit der Standard-Methode, indem er sich an alle Adressen im Outlook-Adressbuch verschickt.
Der Wurm legt im Windows System-Ordner die Datei ZaCker.vbs ab und fügt der Registry diesen Eintrag hinzu:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\Norton.Thar=C:\WINDOWS\SYSTEM\ZaCker.vbs
Die Datei ZaCker.vbs wurde programmiert, um erst alle Dateien im Windows-Ordner zu löschen und der Datei AUTOEXEC.BAT einen Befehl hinzuzufügen, der beim nächsten PC-Start die Festplatte formatiert. Allerdings scheint dieses Unterfangen wegen eines Bugs zu scheitern. Der Vote-Wurm versucht auch Dateien von Antivirus-Programmen zu löschen und einen Passwort-Trojaner [4] herunterzuladen.
Merkmale Variante B:
Betreff: This War Must Be Done !
Mail-Text:
Hi
We Must Fight , We Must ReMemBer Our Victims!
No Peace Before KiLLing TeRRoRists !
Beilage: Anti_TeRRoRisM.exe
Der Rest ist sehr ähnlich wie in Variante A.
Bei der Beseitigung empfiehlt es sich, zuerst den oben erwähnten Registry-Key zu entfernen und vor dem nächsten PC-Start einen Blick in die Datei AUTOEXEC.BAT zu werfen. Dort wäre die Zeile "format c:" zu löschen, falls vorhanden. Sind die vom Wurm erstellten Einträge weg, starten Sie den PC neu und lassen Sie alle Dateien löschen, die Ihr frisch aktualisierter Virenscanner als infiziert meldet.



Kommentare
Es sind keine Kommentare vorhanden.