News 18.04.2001, 17:15 Uhr

I-Worm.Matcher

Dieser VB-Wurm hat Teile von Melissas Quellcode in sich und verbreitet sich recht schnell.
Gemäss den Virenforschern des Kaspersky Lab [1] trägt der Win32-Wurm namens Matcher Teile des Makro-Quellcodes von Melissa in sich. Er wurde in Visual Basic 6.0 programmiert. Die Mail, mit der er sich verbreitet, trägt folgende Merkmale:
Betreff: Matcher
Text: Want to find your love mates!!! Try this its cool... Looks and Attitude Maching to opposite sex.
Beilage: MATCHER.EXE
Wird die Beilage namens MATCHER.EXE ausgeführt, verschickt er infizierte Mails an die Adressen des Outlook oder Windows Adressbuchs. Um sich im System einzunisten, kopiert er sich unter dem Dateinamen "matcher.exe" in den Windows System-Ordner. Mit dem folgenden Registry-Eintrag sorgt der Wurm dafür, dass er bei jedem PC-Start geladen wird:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
(Windows System-Ordner)\matcher.exe
Als kleinen Wink an den User fügt er die untenstehenden Zeilen der Datei C:\AUTOEXEC.BAT hinzu:
@echo off
echo from: Bugger
pause
Diese bewirken, dass beim Starten des PCs die Meldung "from: Bugger" angezeigt wird, bis der User eine beliebige Taste drückt, woraufhin das System den Startvorgang fortsetzt.
Wer die Beilage MATCHER.EXE unvorsichtigerweise ausgeführt hat, wird den Wurm auf diese Art los:
Starten Sie den Registry Editor (Regedit.exe). Entfernen Sie den Eintrag aus dem oben erwähnten Registry-Schlüssel. Löschen Sie auch die drei Zeilen aus der Datei AUTOEXEC.BAT: Im Windows Explorer ein Rechtsklick auf die Datei C:\AUTOEXEC.BAT, im Kontextmenü den Punkt "Bearbeiten" wählen, die drei erwähnten Zeilen löschen und die Datei speichern und schliessen. Starten Sie dann den PC neu und löschen Sie alle Dateien, die Ihr (frisch aktualisierter) Virenscanner als "infiziert" meldet. Möglicherweise ist es nur eine einzige, und zwar namens C:\Windows\System\matcher.exe. Wenn Sie den Eintrag nicht vorher aus der Registry entfernt haben, kann es sein, dass Sie die Datei nicht löschen können, da Windows sie in Benutzung hat. In diesem Fall löschen Sie die Datei im DOS-Modus.
Weitere Informationen über den Matcher-Wurm finden Sie auch bei TrendMicro Deutschland [2], bei Symantec [3] oder F-Secure [4].



Kommentare
Es sind keine Kommentare vorhanden.