Anzeige

Neuer HTML-Wurm formatiert die Festplatte (Update)

JS.Gigger.A@mm verbreitet sich über E-Mail und mIRC

Zahlreiche Hersteller von Anti-Viren-Software entdeckten einen neuen in Visual-Basic geschriebenen Wurm namens JS.Gigger.A@mm, der sich sowohl via E-Mail als auch über das IRC-Programm mIRC verbreitet. Die Schadroutine des Virus ist enorm zerstörerisch, weil er alle Dateiinhalte löscht und anschließend die Partition C beim nächsten Neustart des Rechners formatiert.

Anzeige

Der Wurm versendet sich auf infizierten Systemen an alle Einträge im Outlook-Adressbuch und trägt die Betreffzeile "Outlook Express Update". Die E-Mail besteht aus dem Nachrichtentext "MSNSofware Co." sowie dem Dateianhang "Mmsn_offline.htm", der den Virencode enthält. Durch Öffnen des HTML-Mail-Anhangs werden JavaScript-Befehle ausgeführt, die den Wurm ins System einschleusen. Alternativ verbreitet sich der Schädling auch über das IRC-Programm mIRC an alle Teilnehmer, die den gleichen Chat-Kanal nutzen.

Der E-Mail-Wurm selbst legt sich unter verschiedenen Dateinamen auf der C-Partition, aber auch auf Netzwerk-Laufwerken ab. Die Dateien C:\B.HTM, C:\BLA.HTA, C:\WINDOWS\help\mmsn_offline.htm und C:\WINDOWS\SAMPLES\WSH\Charts.js verraten eine Wurm-Infektion. Auf Netzwerk-Laufwerken nistet sich der Schädling zudem unter \Windows\Start Menu\Programs\StartUp\Msoe.hta ein. Dann füllt JS.Gigger.A@mm den Inhalt der Dateien .ASP, .HTM, und .HTML mit dem Virencode und löscht den Inhalt zahlreicher Dateien, so dass nur 0 Byte lange Daten übrig bleiben. Anschließend überschreibt der Wurm den Inhalt der Konfigurationsdatei C:\AUTOEXEC.BAT mit dem Befehl "Echo y|format c:", so dass beim nächsten Neustart des Rechner Laufwerk C ohne Rückfrage formatiert wird. Nun legt der Schädling noch spezielle SCRIPT.INI-Dateien ab, um sich über mIRC zu verbreiten.

Die meisten Hersteller von Anti-Viren-Software stellen bereits passende Updates zur Verfügung, die den Wurm erkennen und löschen. Alle Anwender sind also aufgerufen, ihre Virenscanner schnellstmöglich zu aktualisieren.

Update:
Die Format-Routine des Virus wirkt sich auf deutschen Windows-Versionen nicht aus, weil die Bestätigung der Formatierung hier zu Lande mit "j" getätigt wird und nicht mit "y", wie bei den englischsprachigen Versionen.


eye home zur Startseite
cfu 07. Jun 2002

Jetzt erkläre mal einer wie ein VB Programm die Part.C beim Start des Systems formatieren...

[MoRE]Mephisto 11. Jan 2002

Ach was regen wir uns denn so auf: Wer von euch hat kein deutsches Windows-System am...

Carsten 11. Jan 2002

Klasse, erst konnte man durch Betrachten von Websites die DOSe abstuerzen lassen (file...

Boris 11. Jan 2002

Mal sehen, was mit dieser Logik alles "HTML-Würmer" wären: - Badtrans (wird im...

eWe 11. Jan 2002

huch ich meinte 'fachkompetenz'

Kommentieren



Anzeige

  1. Junior-Entwickler Microsoft Dynamics NAV (m/w)
    ORBIT, Bonn
  2. (Senior-) Berater (m/w) Business Intelligence / Data Warehouse
    Capgemini Deutschland GmbH, verschiedene Standorte
  3. Dependency Manager Releases (m/w)
    T-Systems International GmbH, Bonn
  4. Informatiker, Wirtschaftsinformatiker (m/w)
    DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Bonn

Detailsuche



Anzeige

Folgen Sie uns
       

  1. Battlefield 1 angespielt

    Zeppeline, Sperrfeuer und die Wiedergeburts-Spritze

  2. Förderung

    Telekom räumt ein, dass Fiber-To-The-Home billiger sein kann

  3. Procter & Gamble

    Windel meldet dem Smartphone, wenn sie voll ist

  4. AVM

    Routerfreiheit bringt Kabel-TV per WLAN auf mobile Geräte

  5. Oculus App

    Vive-Besitzer können wieder Rift-exklusive Titel spielen

  6. Elektroauto

    Supersportwagen BMW i8 soll 400 km rein elektrisch fahren

  7. Keine externen Monitore mehr

    Apple schafft Thunderbolt-Display ersatzlos ab

  8. Browser

    Safari 10 soll auch auf älteren OS-X-Versionen laufen

  9. Dota

    Athleten müssen im E-Sport mehr als nur gut spielen

  10. Die Woche im Video

    Superschnelle Rechner, smarte Zähler und sicherer Spam



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mikko Hypponen: "Microsoft ist nicht mehr scheiße"
Mikko Hypponen
"Microsoft ist nicht mehr scheiße"

Zelda Breath of the Wild angespielt: Das Versprechen von 1986 wird eingelöst
Zelda Breath of the Wild angespielt
Das Versprechen von 1986 wird eingelöst

Schulunterricht: "Wir zocken die ganze Zeit Minecraft"
Schulunterricht
"Wir zocken die ganze Zeit Minecraft"
  1. MCreator für Arduino Mit Klötzchen LEDs steuern
  2. Lifeboat-Community Minecraft-Spieler müssen sich neues Passwort craften
  3. Minecraft Befehlsblöcke und Mods für die Pocket Edition

  1. Re: Skins für Echtgeld sind doch echt bescheuert

    bentol | 03:40

  2. Re: Ich versteh gerade nur Bahnhof

    bentol | 03:24

  3. Re: Automatische Waffen beim WW1?

    teddybums | 02:38

  4. Golem.de: Magie für Profis (kT)

    Keridalspidialose | 02:06

  5. Re: Hahahaa was ein Schwachsinn!

    xMarwyc | 01:52


  1. 15:00

  2. 10:36

  3. 09:50

  4. 09:15

  5. 09:01

  6. 14:45

  7. 13:59

  8. 13:32


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel