News 02.12.2000, 20:30 Uhr

IWorm_Prolin (Troj_Shockwave, Creative)

Ein neuer Internet-Wurm behauptet, ein «Macromedia Shockwave Flash»-Filmchen zu zeigen und rät den Opfern, auf Linux umzusteigen.
Recht schnell hat sich anfangs Dezember 2000 der Internet-Wurm namens Prolin (alias Troj_Shockwave) in den USA verbreitet. Dies ist eine Überraschung, weil die Benutzer spätestens seit dem Erscheinen des Loveletter-Wurms beim Öffnen von Mail-Beilagen etwas vorsichtiger sein sollten. Bei "IWorm_Prolin" handelt es sich um EXE-Datei (wie seinerzeit Happy99 oder PrettyPark), die ausgeführt werden muss, um die Verbreitung des Virus und dessen Schadens-Teil zu starten.In dieser ersten Variante trifft der Wurm in einer Mail ein, die ungefähr so aussieht:
Betreff: "A great Shockwave flash movie"
Text: "Check out this new flash movie that I downloaded just now... It's Great, Bye"
Beilage: creative.exe
Schadensteil: Wird die Beilage "creative.exe" ausgeführt, verbreitet sich der Wurm mit oben erwähnten Eigenschaften an alle Adresseinträge von Outlook. Zudem verschiebt er sämtliche MP3, JPG und ZIP-Dateien ins Rootverzeichnis von Windows (C:\). Dabei hängt er an die Dateinamen diese Worte an: "change at least now to LINUX". So heisst eine ursprüngliche Datei "C:\Daten\beispiel.zip" dann so: "C:\beispiel.zipchange at least now to LINUX".
Als Bestätigung für die Infektion schickt der Virus zudem eine Mail an seinen Erfinder, der eine Yahoo-Mail-Adresse benutzt. Wahrscheinlich ist diese Adresse inzwischen gesperrt. Was dieser später mit den erhaltenen Absender-Adressen der infizierten Benutzer anstellen wird, ist noch unklar. Die Mail sieht ungefähr so aus:
Betreff: "Job complete"
Mailtext: "Got yet another idiot"
Der Wurm kreiert in C:\ auch eine Datei namens "messageforu.txt". Diese enthält einerseits diese Botschaft des Virenschreibers:
"Hi,
guess you have got the message. I have kept a list of files that I have infected under this. If you are smart enough just reverse back the process. i could have done far better damage, i could have even completely wiped your harddisk. Remember this is a warning & get it sound and clear... - The Penguin."
Andererseits enthält diese Datei die Original-Pfade und Namen der verschobenen und umbenannten Dateien. Anhand dieser Datei können Benutzer infizierter Systeme die Dateien wieder in ihre ursprünglichen Ordner verschieben und die Dateinamen wieder herstellen.
Behebung: Jedes aktualisierte Antivirenprogramm sollte den Schädling finden. Löschen Sie infizierte Dateien. Anhand der oben erwähnten Datei "messageforu.txt" können Sie die betroffenen Dateien wieder herstellen. Oder Sie löschen nichts und verwenden stattdessen das Reparier-Programm von TrendMicro [1].
Info:
TrendMicro (oben), Beschreibung von Symantec [2] oder von F-Secure [3]



Kommentare
Es sind keine Kommentare vorhanden.