News 07.01.2002, 15:45 Uhr

VBS.Dismissed

Das schädliche VisualBasic-Script namens «Dismissed» existiert in verschiedenen Varianten und versucht unter anderem, Dateien von Antivirus-Programmen zu löschen.
In der Variante "VBS/Dismissed.A" wurde das schädliche VisualBasic-Script [1] zusammen mit dem Maldal.C Wurm [2] verbreitet.
Beim Ausführen des schädlichen Scripts wird die Startseite des Internet Explorers auf eine User-Webseite bei Geocities umgestellt, die das selbe schädliche Script enthält. Es werden auf der Festplatte und auf verbundenen Netzlaufwerken Dateien mit Namen Zacker.vbs und Dalal.htm erstellt, sowie weitere Kopien davon mit den Namen Server.vbs und Dallah.htm.
Findet der Script-Wurm auf der Festplatte weitere Dateien mit den Endungen .ASP, .HTM und .HTML, fügt es diesen einen Verweis zur erwähnten Geocities-Seite hinzu.
Recht viel Zerstörung kann auch durch diesen Schadens-Teil des Scripts entstehen: Es sucht nach Dateien mit den Endungen .LNK, .ZIP, .JPG, .JPEG, .MPG, .MPEG, .DOC, .XLS, .MDB, .TXT, .PPT, .PPS, .RAM, .RM, .MP3 und .SWF. "Dismissed.A" erstellt Kopien von sich selber mit den gefundenen Dateinamen und hängt diesen eine VBS-Endung an. Anschliessend werden die Originaldateien gelöscht. So wird beispielsweise beim Vorhandensein einer Datei namens "MeinDokument.doc" eine Datei mit dem Namen "MeinDokument.doc.vbs" erstellt, die den Wurm-Code enthält und die Originaldatei (MeinDokument.doc) gelöscht.
Um einer möglichen Erkennung durch Virenscanner zu entgehen, versucht das Script, alle Dateien in den folgenden Ordnern zu löschen, die allesamt zu Antivirus- bzw. Desktop-Firewall-Programmen gehören:
\program files\command software\f-prot95\
\esafe\protect\
\pc-cillin 95\
\pc-cillin 97\
\program files\quick heal\
\program files\fwin32\
\program files\findvirus\
\toolkit\findvirus\
\f-macro\
\program files\mcafeevirusscan95\
\program files\norton antivirus\
\tbavw95\
\vs95\
\rescue\
\program files\zone labs\
Unter gewissen Umständen versucht der Dismissed-Wurm auch alle Dateien im Windows-Ordner zu löschen und zeigt einen anti-semitischen Text in Englisch an.
Stösst der Wurm auf eine Datei mit dem Namen MIRC.INI, die auf einen installierten IRC-Client hindeutet (Internet Relay Chat), ersetzt er alle im selben Ordner liegenden INI-Dateien durch eine eigene, die in den Chat-Kanälen "Werbung" für die genannte Geocities-Webseite macht, sobald sich der infizierte PC bei IRC anmeldet.
Variante: Dismissed.B
Eine zweite bekannte Variante des Dismissed-Wurms enthält den Code von Dismissed.A und einige zusätzliche Zeilen Code, um sich auch per E-Mail weiterzuverbreiten. Die Kennzeichen der verbreiteten Mail:
Betreff: Very important !!!
Mail-Text: See this page
http://geocities.com/((die infizierte User-Webseite))
Gemäss Informationen verschiedener Antivirus-Hersteller sei die infektiöse Webseite inzwischen stillgelegt. Bei diesen Virenlabors finden Sie Beschreibungen von Dismissed.A und B:
[3] Computer Associates (CAI)
[4] Kaspersky Lab (dort heisst der Wurm "Kerza")
[5] Norman VirusControl
[6] Sophos
Wie schon viele andere Würmer, nutzt auch die Dismissed.B-Variante eine seit Oktober 2000 bekannte Sicherheitslücke der so genannten "Microsoft Virtual Machine", um ein in der Mail integriertes Script auszuführen. Lesen Sie in diesem Kummerkasten-Artikel [7], wie Sie sicherstellen, dass Sie die aktuelle bzw. gepatchte Version dieser Virtual Machine installiert haben.
Um die Dismissed-Varianten zu entfernen, löschen Sie sämtliche Dateien, die Ihr Virenscanner als "mit Dismissed infiziert" meldet. Sollte der Wurm Ihre Daten (.LNK, .ZIP, .JPG, .JPEG, .MPG, .MPEG, .DOC usw.) bereits gelöscht haben, kann höchstens ein Datenrettungslabor helfen, oder natürlich das Zurückspielen von Sicherungskopien.



Kommentare
Es sind keine Kommentare vorhanden.