Abo
  • Services:
Anzeige

Neuer HTML-Wurm formatiert die Festplatte (Update)

JS.Gigger.A@mm verbreitet sich über E-Mail und mIRC

Zahlreiche Hersteller von Anti-Viren-Software entdeckten einen neuen in Visual-Basic geschriebenen Wurm namens JS.Gigger.A@mm, der sich sowohl via E-Mail als auch über das IRC-Programm mIRC verbreitet. Die Schadroutine des Virus ist enorm zerstörerisch, weil er alle Dateiinhalte löscht und anschließend die Partition C beim nächsten Neustart des Rechners formatiert.

Anzeige

Der Wurm versendet sich auf infizierten Systemen an alle Einträge im Outlook-Adressbuch und trägt die Betreffzeile "Outlook Express Update". Die E-Mail besteht aus dem Nachrichtentext "MSNSofware Co." sowie dem Dateianhang "Mmsn_offline.htm", der den Virencode enthält. Durch Öffnen des HTML-Mail-Anhangs werden JavaScript-Befehle ausgeführt, die den Wurm ins System einschleusen. Alternativ verbreitet sich der Schädling auch über das IRC-Programm mIRC an alle Teilnehmer, die den gleichen Chat-Kanal nutzen.

Der E-Mail-Wurm selbst legt sich unter verschiedenen Dateinamen auf der C-Partition, aber auch auf Netzwerk-Laufwerken ab. Die Dateien C:\B.HTM, C:\BLA.HTA, C:\WINDOWS\help\mmsn_offline.htm und C:\WINDOWS\SAMPLES\WSH\Charts.js verraten eine Wurm-Infektion. Auf Netzwerk-Laufwerken nistet sich der Schädling zudem unter \Windows\Start Menu\Programs\StartUp\Msoe.hta ein. Dann füllt JS.Gigger.A@mm den Inhalt der Dateien .ASP, .HTM, und .HTML mit dem Virencode und löscht den Inhalt zahlreicher Dateien, so dass nur 0 Byte lange Daten übrig bleiben. Anschließend überschreibt der Wurm den Inhalt der Konfigurationsdatei C:\AUTOEXEC.BAT mit dem Befehl "Echo y|format c:", so dass beim nächsten Neustart des Rechner Laufwerk C ohne Rückfrage formatiert wird. Nun legt der Schädling noch spezielle SCRIPT.INI-Dateien ab, um sich über mIRC zu verbreiten.

Die meisten Hersteller von Anti-Viren-Software stellen bereits passende Updates zur Verfügung, die den Wurm erkennen und löschen. Alle Anwender sind also aufgerufen, ihre Virenscanner schnellstmöglich zu aktualisieren.

Update:
Die Format-Routine des Virus wirkt sich auf deutschen Windows-Versionen nicht aus, weil die Bestätigung der Formatierung hier zu Lande mit "j" getätigt wird und nicht mit "y", wie bei den englischsprachigen Versionen.


eye home zur Startseite
cfu 07. Jun 2002

Jetzt erkläre mal einer wie ein VB Programm die Part.C beim Start des Systems formatieren...

[MoRE]Mephisto 11. Jan 2002

Ach was regen wir uns denn so auf: Wer von euch hat kein deutsches Windows-System am...

Carsten 11. Jan 2002

Klasse, erst konnte man durch Betrachten von Websites die DOSe abstuerzen lassen (file...

Boris 11. Jan 2002

Mal sehen, was mit dieser Logik alles "HTML-Würmer" wären: - Badtrans (wird im...

eWe 11. Jan 2002

huch ich meinte 'fachkompetenz'



Anzeige

Stellenmarkt
  1. matrix technology AG, München
  2. Landesbetrieb IT.Niedersachsen, Hannover
  3. Villeroy & Boch AG, Mettlach bei Saarbrücken / Merzig
  4. über Robert Half Technology, Raum Hamburg


Anzeige
Blu-ray-Angebote
  1. (u. a. House of Wax, Der Polarexpress, Gravity, Mad Max)
  2. (u. a. Jurassic World, Creed, Die Unfassbaren, Kingsman, John Wick, Interstellar, Mad Max)
  3. (u. a. Der Schuh des Manitu, Agenten sterben einsam, Space Jam, Dark City)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation

  1. UBBF2016

    Telefónica will 2G-Netz in vielen Ländern abschalten

  2. Mögliche Übernahme

    Qualcomm interessiert sich für NXP Semiconductors

  3. Huawei

    Vectoring erreicht bald 250 MBit/s in Deutschland

  4. Kaufberatung

    Das richtige Solid-State-Drive

  5. Android-Smartphone

    Huawei bringt Nova Plus doch nach Deutschland

  6. Rosetta

    Mach's gut und danke für die Bilder!

  7. Smartwatch

    Android Wear 2.0 kommt doch erst nächstes Jahr

  8. G Suite

    Google verbessert Apps for Work mit Maschinenlernen

  9. Nahbereich

    Netzbetreiber wollen Vectoring II der Telekom blockieren

  10. Thermaltake Engine 27

    Bei diesem CPU-Kühler ist der Lüfter der Kühlkörper



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Swift Playgrounds im Test: Apple infiziert Kinder mit Programmiertalent
Swift Playgrounds im Test
Apple infiziert Kinder mit Programmiertalent
  1. Asus PG248Q im Test 180 Hertz erkannt, 180 Hertz gebannt

MacOS 10.12 im Test: Sierra - Schreck mit System
MacOS 10.12 im Test
Sierra - Schreck mit System
  1. MacOS 10.12 Sierra fungiert als alleiniges Sicherheitsupdate für OS X
  2. MacOS Sierra und iOS 10 Apple schmeißt unsichere Krypto raus
  3. Kaspersky Neue Malware installiert Hintertüren auf Macs

Android 7.0 im Test: Zwei Fenster für mehr Durchblick
Android 7.0 im Test
Zwei Fenster für mehr Durchblick
  1. Android-X86 Desktop-Port von Android 7.0 vorgestellt
  2. Android 7.0 Erste Nougat-Portierung für Nexus 4 verfügbar
  3. Android 7.0 Erste Nougat-Portierungen für Nexus 5 und Nexus 7 verfügbar

  1. Re: Untypisch

    MrUNIMOG | 13:36

  2. Re: 1 TB SSD für 100 EUR

    Muellersmann | 13:36

  3. Re: Akkubetriebene Elektroautos sind zun Kotzen

    Stefan99 | 13:36

  4. Re: Die ganze Debatte ist komplett Schwachsinn

    david_rieger | 13:36

  5. Re: Wie oft man zwischen Leben und Tod...

    david_rieger | 13:35


  1. 13:45

  2. 13:18

  3. 12:42

  4. 12:06

  5. 12:05

  6. 11:52

  7. 11:30

  8. 11:17


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel