News 09.06.2002, 13:30 Uhr

VBS.VBSWG.AQ@mm (ShakiraPics)

Mit einem ähnlichen Virenbastel-Werkzeug, wie es der «Erfinder» des Anna-Kournikova-Wurms verwendet hat, entstand auch der Shakira-Wurm VBS.VBSWG.AQ@mm.
Ein Script-Kiddie hat wahrscheinlich ein ähnliches Virenbastel-Werkzeug benutzt, wie es seinerzeit beim "Anna Kournikova"-Wurm eingesetzt wurde und brachte einen Wurm in Umlauf, der Fans der Pop-Sängerin Shakira torpediert. Die Mail, mit der diese Wurm-Variante eintrifft, sieht nämlich folgendermassen aus:
Betreff: Shakira's Pictures
Mail: "Hi :
i have sent the photos via attachment
have funn..."
Der Name der Wurm-Beilage: ShakiraPics.jpg.vbs
Wird die Beilage durch den Benutzer ausgeführt, legt das VisualBasic-Script eine Kopie von sich selber unter dem Namen ShakiraPics.jpg.vbs im Windows-Ordner ab, also etwa in C:\Windows\ oder in C:\Winnt\.
In der Windows-Registry fügt er den üblichen Eintrag ein, der Windows bei jedem Aufstarten zum Laden des Wurms veranlasst:
Und zwar ist es in diesem Zweig:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dieser Eintrag:
Registry=wscript.exe C:\WINNT\ShakiraPics.jpg.vbs %
oder
Registry=wscript.exe C:\Windows\ShakiraPics.jpg.vbs %
Nun hält der Wurm auf allen verfügbaren Laufwerken nach VBS- und VBE-Dateien Ausschau und versucht diese mit seinem eigenen Code zu überschreiben.
Der Wurm verwendet das Adressbuch von Microsoft Outlook, um sich mit den eingangs erwähnten Merkmalen an alle dort eingetragenen E-Mail-Adressen zu versenden. Zudem überschreibt er (falls vorhanden) die zu mIRC (Microsoft Internet Relay Chat) gehörende Datei Script.ini. Dies soll bewirken, dass sich der Wurm an andere Teilnehmer eines IRC-Chats verschickt, sobald sich der Benutzer des infizierten PCs mit einem IRC-Chat verbindet.
Als eine Art "Zähler" sind zwei weitere Einträge gedacht, die der Wurm in der Registry vornimmt:
HKEY_CURRENT_USER\Software\ShakiraPics\mailed=1
HKEY_CURRENT_USER\Software\ShakiraPics\Mirqued=1
Am Ende zeigt er eine Dialogbox mit folgendem Inhalt an:
"VBScript
You have been infected by the ShakiraPics Worm"
Beseitigung:
Entfernen Sie zuerst die vom Wurm kreierten Einträge aus der Windows Registry: Starten Sie via "Startmenü/Ausführen" und Eintippen von REGEDIT den Registry-Editor. Vergessen Sie nicht, dass eine Fehlmanipulation in der Windows-Registry schwerwiegende Folgen für Ihr System haben kann. Sichern Sie die Registry deshalb vorher via "Registrierung/Registrierungsdatei exportieren" und speichern Sie die Sicherung an einem Ort, den Sie leicht wieder finden. Erst wenn Sie nach ein paar Tagen feststellen, dass die Beseitigung erfolgreiche war, können Sie die gespeicherte Sicherung wieder löschen.
Gehen Sie im Registry-Editor nun zu diesem Schlüssel und klicken Sie ihn an:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
In der rechten Hälfte des Registry-Editors sollten Sie nun einen Eintrag mit dem Inhalt "ShakiraPics.jpg.vbs" sehen, zum Beispiel:
Registry=wscript.exe C:\Windows\ShakiraPics.jpg.vbs %
Klicken Sie diesen mit Rechts an und wählen im Kontextmenü den Befehl "Löschen".
Jetzt navigieren Sie zu diesem Zweig und öffnen ihn per Doppelklick:
HKEY_CURRENT_USER\Software
Darunter könnten Sie (in der linken Fenster-Hälfte des Registry Editors) den Unterzweig "ShakiraPics" entdecken. Dieser hat zwar keine negativen Auswirkungen auf Ihr System, aber er gehört da trotzdem nicht hinein. Deshalb entfernen Sie diesen ebenfalls.
Starten Sie jetzt Ihren PC neu und scannen Sie Ihre Festplatte mit einem frisch aktualisierten Virenscanner. Entfernen Sie alle Dateien, die Ihr Virenscanner als VBS.VBSWG.AQ@mm identifiziert, insbesondere die Datei ShakiraPics.jpg.vbs im Windows-Ordner. Gemäss TrendMicro sei die Reihenfolge "zuerst Registry-Reparatur, dann Wurm-Dateien löschen" sinnvoll, weil sich dieser Wurm - solange er im Hintergrund geladen ist - ständig wieder in den Windows-Ordner kopiert.
Informationen über diesen Wurm finden Sie bei Sophos [1], F-Secure [2], TrendMicro [3] und auch in den Virennachschlagewerken der meisten anderen Antivirus-Hersteller.



Kommentare
Es sind keine Kommentare vorhanden.