Neuer sehr gefährlicher Wurm formatiert Festplatte

11. Jänner 2002, 18:48
3 Postings

JS.Gigger.A@mm verbreitet sich sowohl über Mail als auch über IRC - getarnt als "Outlook Express Update"

Der Visual-Basic Wurm namens JS.Gigger.A@mm verbreitet sich sowohl via E-Mail als auch über das IRC-Programm mIRC, er versendet sich an alle Einträge im Outlook-Adressbuch oder verändert die mirc.ini und verschickt sich an Chat-Teilnehmer, die den gleichen Kanal betreten.

Getarnt als "Outlook Express Update"

Die Betreffzeile der verseuchten Mails lautet "Outlook Express Update", das Mail besteht aus dem Nachrichtentext "MSNSofware Co." und dem Dateianhang "Mmsn_offline.htm", der den Virencode enthält.

Die Gefahren

Alle *.ASP-, *.HTM-, und *.HTML-Dateien werden mit dem Viruscode überschrieben, die Inhalte aller anderen Dateien werden vom Virus gelöscht, sie haben dann 0 Bytes Länge. Den Inhalt der autoexec.bat ersetzt der Schädling durch "echo y|format c:". Windows kann aber nicht rebootet werden, da die Executables überschrieben wurden.

Mehr Information zum Wurm finden sie hier.

Update: Doch nicht so schlimm

Die deutsche Versionen von Windows scheint gegen den Versuch, die Festplatte zu löschen, resistent zu sein. Der Befehl "ECHO y|format c:", der in die Autoexec.bat eingefügt wird, bestätigt die Frage des Format-Programms, ob man wirklich formatieren will, mit einem "y". In den deutschen Versionen muss man jedoch mit einem "j" bestätigen. Auch bei Windows NT, 2000 oder XP wird vor der Formatierung zusätzlich noch einmal nach der Beschreibung der Festplatte gefragt. Auch wenn die Festplatt nicht gelöscht wird, kann es aber trotzdem zu Problemen kommen. Der Computer stürzt möglicherweise bei einem Neustart ab, in diesem Fall muß mit einer Bootdiskette die Autoexec.bat editiert werden.

(red)

Link

Informationen bei Symantec

German Secure

Share if you care.