News 07.12.2001, 15:00 Uhr

W32.Updater

Der Wurm verbreitet sich über E-Mail-Beilagen, indem er sich an alle Einträge des Outlook Adressbuchs verschickt, sobald ein Benutzer die Wurm-Beilage öffnet.
W32.Updater ist ein E-Mail-Wurm mit mittlerer Verbreitung. Er ist den verschiedenen Virenlabors schon bekannt, und zwar bezeichnen ihn diese so:
[1] Kaspersky: I-Worm.Updater
[2] Sophos: W32/Updatr-A
[3] Symantec: W32.Updater.gen@mm
[4] McAfee: W32/Updatr@MM
[5] F-Secure: Updater
W32.Updater setzt den Betreff der von ihm verschickten Mails (bausteinartig) aus je einem Teil von vier Baustein-Sätzen zusammen:
Baustein-Satz 1: Have you, You Should, Just, Why Not you, How to, Re:, Fwd:
Baustein-Satz 2: Check, Check out, Watch out, Open, Look at
Baustein-Satz 3: this, my, For this, The
Baustein-Satz 4: Picture, Program, Patch, Nude pic, Report, Documment, Quotation, Transaction, Bank Account, WTC Tragedy, Osama Vs Bush, Account, Private Pic
So könnte ein Betreff zum Beispiel so lauten: "You Should Look at this Osama Vs Bush" oder so: "Fwd : Check my Patch"
Im Mail-Text heisst es: "Hi: This is the file you ask for, Please save it to disk and open this file, it's very important." Die Wurm-Beilage kann einen dieser Namen tragen: Setup.EXE, install.exe, Readme.exe, Files.exe, Picture.exe, Quotation.Doc.exe, Letter.Doc.exe, Picture.jpg.exe
Wenn der Empfänger einer solchen Mail unvorsichtig genug ist und die Beilage öffnet, startet sich der Wurm und versendet eine Mail mit den oben erwähnten Merkmalen an sämtliche Einträge des Outlook Adressbuchs.
Des weiteren kopiert sich der Wurm unter dem Dateinamen UPDATE.EXE in den Windows-Ordner (C:\Windows\) und trägt diese Datei in der Windows Registry ein, damit er bei jedem PC-Start automatisch mitgeladen wird. Der Registry-Schlüssel, in den er sich einträgt, lautet:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Im Windows-Ordner erstellt der Wurm noch eine weitere Kopie von sich, die einen dieser Namen tragen kann: Setup.EXE, install.exe, Readme.exe, Files.exe, Picture.exe, Quotation.Doc.exe, Letter.Doc.exe, Picture.jpg.exe
Schadens-Teil:
Der Wurm erzeugt eine Datei namens UPDATE.VBS im Ordner "C:\Windows\Start Menu\Programs\Startup". Dadurch wird (nur bei Win9x/Me) dieses VisualBasic-Script bei jedem PC-Start ausgeführt. Sein "Job" besteht darin, auf allen lokalen und via Netzwerk verbundenen Laufwerken nach Dateien mit Endung EXE, DOC und TXT zu suchen. Wird das Script fündig, kopiert es sich unter den selben Datei-Namen mit der zusätzlichen Endung VBS in jene Ordner. Stösst es also beispielsweise auf eine Datei namens Beispiel.doc, kreiert das Script im selben Ordner eine Kopie von sich selber mit dem Namen Beispiel.doc.vbs. Die Original-Dateien werden vom Wurm jedoch nicht beschädigt.
Beseitigung:
Suchen Sie via Startmenü/Suchen/Dateien/Ordner auf Ihrer Festplatte die Datei UPDATE.VBS und löschen Sie sie. Entfernen Sie auch die Datei UPDATE.EXE aus dem Windows-Ordner (C:\Windows\). Scannen Sie Ihren PC mit einem frisch aktualisierten Antivirenprogramm und lassen Sie (falls vorhanden) sämtliche weiteren Dateien löschen, die als infiziert gemeldet werden.
Starten Sie über Startmenü/Ausführen und eintippen von REGEDIT den Registry-Editor. Erstellen Sie im Registry-Editor sicherheitshalber zuerst eine Sicherung der Registry (Menü "Registrierung/Registrationsdatei exportieren"). Klicken Sie sich nun (vorsichtig!) zu diesem Schlüssel durch und klicken ihn einmal an, damit Sie in der rechten Fensterhälfte seine Einträge sehen:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
In der rechten Fensterhälfte klicken Sie mit der rechten Maustaste auf den folgenden Eintrag und wählen im Kontextmenü den Punkt "Löschen":
Update c:\windows\update.exe
Am besten verhindern Sie eine Ansteckung, indem Sie keine unverlangten oder unerwarteten Mail-Beilagen öffnen.



Kommentare
Es sind keine Kommentare vorhanden.