|
Vote ist ein einfacher Visual-Basic Virus, der die WTC-Tragödie
(World-Trade Center) ausnutzt, damit er ausgeführt wird.
Ausserdem verbreitet er sich über E-MAIL als Massen-Mail-Wurm.
Offenbar wurde er von einem "Jugendlichen" in die
Welt gesetzt, da er sehr einfach programmiert wurde.
Vote wurd am 24. September 2001 entdeckt, 13 Tage nach der
schrecklichen Tragödie in den USA.
Bis jetzt gibt es keine Anzeichen dafür, dass der Wurm
sich frei verbreitet (Stand 25.9.2001). Wahrscheinlich wird
er sich auch kaum ausbreiten.
Programm-Code (binärer Teil)
Der Wurm benutzt das Standard Windows Mail API, um an das
Adressbuch zu gelangen. Damit sind Benutzer von MAPI-kompatiblen
Mail-Clients betroffen, hauptsächlich Benutzer von Microsoft
Outlook
Die E-MAIL, die der Wurm verschickt, sieht folgendermaßen
aus:
Von:
Name-des-infizierten-Benutzers
An: Zufalls-Name-aus-dem-Adressbuch
Betreff: Fwd:Peace BeTween AmeriCa and IsLaM !
Hi
iS iT waR Against AmeriCa Or IsLaM !?
Let's Vote To Live in Peace!
Attachment: WTC.exe
Folgende Dateien werden von der Festplatte gelöscht:
'C:\Program Files\AntiViral
Toolkit Pro\*.*'
'C:\eSafe\Protect\*.*'
'C:\Program Files\Command Software\F-PROT95\*.*'
'C:\PC-Cillin 95\*.*'
'C:\PC-Cillin 97\*.*'
'C:\Program Files\Quick Heal\*.*'
'C:\Program Files\FWIN32\*.*'
'C:\Program Files\FindVirus\*.*'
'C:\Toolkit\FindVirus\*.*'
'C:\f-macro\*.*'
'C:\Program Files\McAfee\VirusScan95\*.*'
'C:\Program Files\Norton AntiVirus\*.*'
'C:\TBAVW95\*.*' 'C:\VS95\*.*'
Dadurch sollen einige Antiviren-Produkte unbrauchbar gemacht
werden.
Trojan Installation
Der Wurm öffnet zwei Internet-Explorer Fenster. Das
eine Fenster versucht den Trojaner Barrio 5.0 herunterzuladen
und setzt die Startseite des Explorers auf diese Adresse.
Das Trojaner-Programm Barrio ist hauptsächlich dazu
entwickelt worden, Passwörter auf einem System zu sammeln
und zu versenden. Er kann Einwahl-Passwörter, ICQ UIN
und Passwörter, u.a. ausspähen und dann an eine
vordefinierte E-MAIL-Adresse senden.
Script-Komponenten
'[windows_Verzeichnis]\MixDaLaL.vbs' ist ein Visual Basic
Skript, das alle erreichbaren lokalen und Netzwerk-Laufwerke
nach .HTM und .HTML Dateien durchsucht. Der Inhalt aller dieser
Dateien wird durch folgenden Text ersetzt:
'AmeRiCa ...Few Days
WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr
is So Sorry For You .'
'ZaCker.vbs' wird im Windows-System-Verzeichnis abgelegt
und in der Registry eingetragen unter '[HKLM]\Software\Microsoft\Windows\CurrentVersion\run\Norton.Thar',
wodurch diese Datei beim nächsten Systemstart ausgeführt
wird.
ZaCker.vbs löscht zunächst alle Dateien im Windows-Verzeichnis
und gibt dann diese Meldung aus:
Danach ändert dieses Skript die autoexec.bat so ab,
dass beim nächsten Systemstart Laufwerk C: formatiert
wird. Dieser Teil des Skripts wird abgebrochen, so dass die
autoexec.bat leer bleibt. Er versucht einen Neustart des Systems,
was aber nicht durchgeführt werden kann, da die Programme
zur Ausführung des Reboots gelöscht wurden.
Anleitung zur Beseitigung
Sobald der Wurm aktiviert wurde, darf das System zunächst
nicht neu gestartet werden, bevor nicht Vote beseitigt wurde,
andernfalls wird die Schadfunktion des Programms ausgeführt.
Die folgenden Dateien müssen entfernt werden:
'[windows_Verzeichnis]\WTC.EXE'
'[windows_Verzeichnis]\MixDaLaL.vbs'
'[system_Verzeichnis]\ZaCker.vbs'
Dieser Registry-Eintrag muss gelöscht werden:
'[HKLM]\Software\Microsoft\Windows\CurrentVersion\run\Norton.Thar'
Oben erwähnte Anwendungen (Anti-Viren-Programme) müssen
wieder installiert werden, falls sie auf dem System vorhanden
waren.
Alle gelöschten .HTM und .HTML- Dateien müssen
von einer Sicherungskopie wieder eingespielt werden.
F-Secure Anti-Virus und F-PROT erkennt alle Komponenten dieses
Wurms und das Backdoor-Programm, das Veto versucht herunterzuladen.
[Analyse: Katrin Tocheva, Gergely Erdelyi, Mikko Hypponen;
F-Secure Corp., 25. September 2001; Übersetzung F-PROT
in Deutschland und @ntivirus-shop.com]
|
zurück
