Porno-Virenalarm: FireBurn-Visual-Basic-Script-Wurm

Diesmal schaut das kleine Programm nach dem Ordner c:\programme und schickt dann an alle Einträge des Microsoft- Adressbuchs E-Mails mit dem Subjekt "Hi, how are you?" oder dem deutschen Satz "Moin, alles klar?".

Die Textnachricht lautet entweder:"Hi, look at that nice Pic attached ! Watching it is a must ;) cu later..." oder auf Deutsch: "Hi, wie geht's dir? Guck dir mal das Photo im Anhang an, ist echt geil ;) bye, bis dann.. ".

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Anwendungsbetreuer- oder betreuerin (m/w/d) Administration und Weiterentwicklung Pro Arbeit - Kreis Offenbach - (AöR) - Kommunales Jobcenter, Dreieich (öffnet im neuen Fenster)

Informatiker*in für die Mitarbeit im Labor Rechenzentrum Informatik HAW Hamburg, Hochschule für Angewandte Wissenschaften, Hamburg,Homeoffice (öffnet im neuen Fenster)

Prozessmanager (m/w/d) PROSOZ Herten GmbH, Herten (öffnet im neuen Fenster)

IT Asset Manager*in Verkehrsbetriebe Karlsruhe GmbH, Karlsruhe (öffnet im neuen Fenster)

Systemadministrator (m/w/d) Versorgungswerk der Landesärztekammer Hessen, Frankfurt am Main (öffnet im neuen Fenster)

Business Analyst Künstliche Intelligenz & Agentic (m/w/d) Finanz Informatik GmbH & Co. KG, Münster,Hannover,Frankfurt am Main (öffnet im neuen Fenster)

Anwendungsberater im Innendienst (m/w/d) IN-Software GmbH, Karlsbad bei Karlsruhe (öffnet im neuen Fenster)

Data Engineer / Data-Warehouse-Entwickler (m/w/d) Oberfinanzdirektion Baden-Württemberg, Karlsruhe (öffnet im neuen Fenster)

Als Attachment hängt ein VB-Script mit einem dieser "vielverprechenden" Namen an: Ultra-Hardcore-Bondage.JPG.vbs Christina__NUDE!!!.JPG.vbs CuteJany__BigTits!.GIF.vbs MyGirlfriend__NUDE!.JPG.vbs Aguiliera__NUDE!!.JPG.vbs !Jany__Gets-fucked!.GIF.vbs cute__EmmaPeel!!!.JPG.vbs Julie17__xxx.GIF.vbs.

Wenn der Anwender eines der Attachments öffnet, wird der Windows Scripting Host dazu verwendet, das VB-Script auszuführen.

Der Windows Scripting Host befindet sich auf den meisten Windows-Systemen, auf denen der Internet Explorer 5 installiert wurde.

Der Wurm bzw. das Script kopiert sich unter dem Dateinamen WINDOWSRUNDLL32.VBS. auf die erste Festplatte des Systems und fügt in der Registry den Eintrag HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRunM Sru ndll32=rundll32.vbs ein, damit der Programmcode beim Systemstart ausgeführt wird.

Der Wurm ändert den Benutzernamen durch die Modifikation des Registry-Eintrags HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersion RegisteredOwner in FireburN.

Außerdem wird eine Kopie des Wurms im Windowsverzeichnis und im Systemverzeichnis angelegt, die einen der oben erwähnten Dateinamen trägt.

Wenn das IRC-Programm mIRC auf dem System installiert wurde, überschreibt der Wurm die Datei Script.ini, um sich über IRC zu verbreiten.

Am 20. Juni wird eine Messagebox geöffnet, die den Titel "FireburN" trägt und als Botschaft den Text "I'm proud to say that you are infected by FireburN !" enthält.

Der Wurm schaltet auch Maus und Keyboard ab, indem die Registry an zwei weiteren Stellen modifiziert wird: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunShut _Up=rundll32 mouse,disable und HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunShut _Up2=rundll32 keyboard,disable.

Network Associates hat für seine Virenscanner schon Aktualisierungsdateien zur Verfügung gestellt. Andere Hersteller dürften wie gewöhnlich bald folgen.

• Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon