Wurm-Alarm: So wird man WTC.exe wieder los
25. September 2001
Ein neuer Wurm mit der Bezeichnung W32.Vote.A@mm grassiert im Internet. Er verbreitet sich in einer E-Mail mit der Betreffzeile: "Fwd:Peace BeTweeN AmeriCa And IsLaM !". Im Text steht: "Hi, iS iT A waR Against AmeriCa Or IsLaM !? Let's Vote To Live in Peace!" Der Wurm ist in der mitgeschickten Datei WTC.exe enthalten. Dem E-Mail-Empfänger soll vorgegaukelt werden, er beteilige sich mit seiner Meinungsäusserung (dem Klick auf das Attachment) an einer Aktion wider den Terrorismus.
Dem ist jedoch nicht so: Wenn das .exe-File ausgeführt wird, startet ein VBS-Script, das die E-Mail an sämtliche in Outlook gespeicherten E-Mail-Adressen weiterleitet. Anschliessend werden zwei VBS-Dateien auf das infizierte System gespeichert, und zudem wird versucht, ein weiteres .exe-File aus dem Internet herunterzuladen, das ein Trojanisches Pferd enthält und damit das System verwundbar für unberechtigte Zugriffe von aussen macht. Zudem werden jene Default-Verzeichnisse auf der Harddisk gelöscht, in welche üblicherweise Antiviren-Software installiert wird.
Damit nicht genug: Der Wurm initialisiert eine Suche nach Dateien mit den Endungen .htm oder .html auf allen lokalen und Netzlaufwerken. Spürt der Wurm solche Files auf, überschreibt er sie mit dem Text "AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You". Zudem wird die Betriebssystem-Registry verändert, wodurch beim nächsten Starten von Windows der Inhalt des Ordners \Windows gelöscht wird. Weiter wird auch die Batch-Datei autoexec.bat modifiziert. Wenn der User eines infizierten Systems zum nächsten Mal einen kompletten Neustart durchführt, wird über autoexec.bat der Formatierungsbefehl für das Laufwerk C erteilt.
Nach einer Infizierung sollte also wenn möglich ein Neustart des PCs oder nur schon jener von Windows unter allen Umständen vermieden werden. Die bekannten Hersteller von Antiviren-Software haben auf den jüngsten Wurm reagiert und bieten Updates an. Wurde die Antiviren-Software durch den Wurm zerstört, sollte sie umgehend neu installiert und aufdatiert werden. Ansonsten sollten User, welche die WTC.exe-Datei bereits ausgeführt, den Rechner aber noch nicht heruntergefahren haben, die Zeile in der autoexec.bat-Datei, die den Formatierungsbefehl enthält, manuell über einen Editor löschen. Wenn der PC bereits heruntergefahren wurde, sollte er mit einer Boot-Diskette, die von einem nicht infizierten System erstellt worden ist, oder einer Boot-CD gestartet werden, um zumindest die totale Formatierung zu verhindern. (IW)
Dem ist jedoch nicht so: Wenn das .exe-File ausgeführt wird, startet ein VBS-Script, das die E-Mail an sämtliche in Outlook gespeicherten E-Mail-Adressen weiterleitet. Anschliessend werden zwei VBS-Dateien auf das infizierte System gespeichert, und zudem wird versucht, ein weiteres .exe-File aus dem Internet herunterzuladen, das ein Trojanisches Pferd enthält und damit das System verwundbar für unberechtigte Zugriffe von aussen macht. Zudem werden jene Default-Verzeichnisse auf der Harddisk gelöscht, in welche üblicherweise Antiviren-Software installiert wird.
Damit nicht genug: Der Wurm initialisiert eine Suche nach Dateien mit den Endungen .htm oder .html auf allen lokalen und Netzlaufwerken. Spürt der Wurm solche Files auf, überschreibt er sie mit dem Text "AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You". Zudem wird die Betriebssystem-Registry verändert, wodurch beim nächsten Starten von Windows der Inhalt des Ordners \Windows gelöscht wird. Weiter wird auch die Batch-Datei autoexec.bat modifiziert. Wenn der User eines infizierten Systems zum nächsten Mal einen kompletten Neustart durchführt, wird über autoexec.bat der Formatierungsbefehl für das Laufwerk C erteilt.
Nach einer Infizierung sollte also wenn möglich ein Neustart des PCs oder nur schon jener von Windows unter allen Umständen vermieden werden. Die bekannten Hersteller von Antiviren-Software haben auf den jüngsten Wurm reagiert und bieten Updates an. Wurde die Antiviren-Software durch den Wurm zerstört, sollte sie umgehend neu installiert und aufdatiert werden. Ansonsten sollten User, welche die WTC.exe-Datei bereits ausgeführt, den Rechner aber noch nicht heruntergefahren haben, die Zeile in der autoexec.bat-Datei, die den Formatierungsbefehl enthält, manuell über einen Editor löschen. Wenn der PC bereits heruntergefahren wurde, sollte er mit einer Boot-Diskette, die von einem nicht infizierten System erstellt worden ist, oder einer Boot-CD gestartet werden, um zumindest die totale Formatierung zu verhindern. (IW)
Artikel kommentieren
