20.12.2001

CHRISTMAS.EXE

Bildquelle: FuZo

Frische Viren für den Gabentisch

Zwei neue Würmer verbreiten sich in den letzten Tagen. Die Schädlinge scheinen noch keine globale Infektionswelle ausgelöst zu haben, verfolgen aber neue Ansätze, die in Zukunft die Gefährdung steigern können.

In schönem Einklang warnen die großen Antiviren-Hersteller wieder einmal unisono vor den Würmern "W32.Maldal.C@mm" [auch bekannt als "Zacker"] und "JS.Coolsite@mm".

Attachment: "Christmas.exe"
"Maldal" erscheint zunächst wie aus dem Lehrbuch für Windows-Würmer konzipiert: Geschrieben in Visual Basic, automatischer Versand per Outlook [Betreff: "Happy New Year", Attachment: "Christmas.exe"] und Eintrag in die Registry. Außerdem ändert der Wurm den Netzwerknamen des befallenen Rechners in "Zacker".

Wurm-Remix mit altem Trick

Office-Dokumente, MP3-Files und JPEG-Bilder

Danach allerdings aktualisiert sich der Wurm per Web selbsttätig.

Er setzt die Startseite des Internet Explorer auf eine neue URL und lädt beim nächsten Start des Browsers von dieser Webseite das Visual-Basic-Skript "Rol.vbs".

Es enthält die eigentlichen Schadensroutinen. Sie umfassen das Löschen von Antivirus-Programmen und das Überschreiben von zahlreichen Dateitypen mit dem VB-Code des Wurms. Zu den befallenen Dateien zählen Office-Dokumente, MP3-Files und JPEG-Bilder.

Bösartiger JavaScript-Code ohne Attachment
"Coolsite", der zweite neue Wurm, ist nicht ganz so bösartig. Er kommt in E-Mails mit dem Betreff: "Hi!!" auf den Rechner. Ein Attachement ist hier aber gar nicht nötig. Vielmehr ist in den Text der Mail bösartiger JavaScript-Code eingebettet, der sich eine schon seit Jänner dokumentierte und behobene Sicherheitslücke von Microsofts Java-Implementation zu Nutze macht.

Hype um den "Anthrax-Wurm"

Startseite verweist auf Porno-Anbieter

Auf frisch installierten PCs mit einem originalen Windows 98 oder 2000 ohne Patches kann "Coolsite" aber zuschlagen.

Er versendet sich jedoch nur per Outlook und ändert die Startseite des Internet Explorer, die anschließend auf einen Porno-Anbieter verweist.

Weitere Schadfunktionen sind nicht bekannt.

Aktuelle Signaturdateien runterladen
Für beide Würmer gilt: Die aktuellen Signaturdateien der großen Antiviren-Hersteller wie Symantec, Norman Data Defense, Trend Micro und Kaspersky Labs erkennen sie. Gerade in der Weihnachtszeit ist aber noch mehr Vorsicht bei vermeintlichen elektronischen Grußkarten angebracht, vor allem, wenn sie Datei-Anhänge mitbringen.

"Nimda"-Rettung bringt Trojaner