Wurm geknackt: So immunisieren Sie Ihren Rechner

9. Mai 2001, 19:41
9 Postings

derStandard.at-Techniker verraten erste Details

Durch eine Unachtsamkeit konnte sich der "Porno-Wurm" auch in der Standard.at-Redaktion ausbreiten. Natürlich schritten die Techniker gleich ans Werk und konnten innerhalb weniger Minuten sämtliche noch nicht betroffenen Rechner immunisieren. Dem Webstandard verriet Robert Knienider, EDV-Unternehmer mit Schwerpunkt Datenbanken, die ersten Details des Wurms:

"Soweit ich sehen kann, beschränkt sich die Schadenswirkung auf:

1. Kopieren des Virus auf die Festplatte ins temporäre Verzeichnis unter dem Namen.

2. Prüft Registry-Key "HKCU\software\An\mailed": Wenn 1, weiter mit 4.

3. Verschicken des Virus an alle Adressen in Mapi.AddressLists; Eintragen von "HKCU\software\An\mailed" mit Wert 1.

4. Löscht eigenes Auftreten in der olFolderInbox(6) und olFolderDeletedItems(3).

5. Aufrufen einer von vier Sex-Seiten im WWW."

Interessant sind vor allem folgende Punkte im "Porno-Wurm":

Set OutF=FSO.OpenTextFile(Folder&""\homepage.HTML.vbs"",2,true) OutF.write ScriptBuffer OutF.close Set FSO=Nothing

Mit diesem Verzeichnis kopiert sich der Wurm in die Temporären Dateien. Robert Knienider empfielt daher auch dieses File zu löschen.

Eine weiteres Detail könnte Auskunft über die Herkunft des Wurms geben:

If WS.regread (""HKCU\software\An\mailed"") <> ""1"" then
Mailit()
End If

Das "An" lässt auf einen deutschsprachigen Absender schliessen bzw. auf ein verändertes Script eines deutschsprachigen Virenschreibers, so die Techniker beim derStandard.at.

Weitere Infos finden Sie unter vil.nai.com (red)

Share if you care.