Neuer HTML-Wurm formatiert die Festplatte (Update)

JS.Gigger.A@mm verbreitet sich über E-Mail und mIRC

Zahlreiche Hersteller von Anti-Viren-Software entdeckten einen neuen in Visual-Basic geschriebenen Wurm namens JS.Gigger.A@mm, der sich sowohl via E-Mail als auch über das IRC-Programm mIRC verbreitet. Die Schadroutine des Virus ist enorm zerstörerisch, weil er alle Dateiinhalte löscht und anschließend die Partition C beim nächsten Neustart des Rechners formatiert.

Artikel veröffentlicht am ,

Der Wurm versendet sich auf infizierten Systemen an alle Einträge im Outlook-Adressbuch und trägt die Betreffzeile "Outlook Express Update". Die E-Mail besteht aus dem Nachrichtentext "MSNSofware Co." sowie dem Dateianhang "Mmsn_offline.htm", der den Virencode enthält. Durch Öffnen des HTML-Mail-Anhangs werden JavaScript-Befehle ausgeführt, die den Wurm ins System einschleusen. Alternativ verbreitet sich der Schädling auch über das IRC-Programm mIRC an alle Teilnehmer, die den gleichen Chat-Kanal nutzen.

Stellenmarkt
  1. Senior Project Manager (m/w/d)
    CG Car-Garantie Versicherungs-AG, Freiburg
  2. IKT-Beschäftigter (m/w/d)
    Stadt Köln, Köln
Detailsuche

Der E-Mail-Wurm selbst legt sich unter verschiedenen Dateinamen auf der C-Partition, aber auch auf Netzwerk-Laufwerken ab. Die Dateien C:\B.HTM, C:\BLA.HTA, C:\WINDOWS\help\mmsn_offline.htm und C:\WINDOWS\SAMPLES\WSH\Charts.js verraten eine Wurm-Infektion. Auf Netzwerk-Laufwerken nistet sich der Schädling zudem unter \Windows\Start Menu\Programs\StartUp\Msoe.hta ein. Dann füllt JS.Gigger.A@mm den Inhalt der Dateien .ASP, .HTM, und .HTML mit dem Virencode und löscht den Inhalt zahlreicher Dateien, so dass nur 0 Byte lange Daten übrig bleiben. Anschließend überschreibt der Wurm den Inhalt der Konfigurationsdatei C:\AUTOEXEC.BAT mit dem Befehl "Echo y|format c:", so dass beim nächsten Neustart des Rechner Laufwerk C ohne Rückfrage formatiert wird. Nun legt der Schädling noch spezielle SCRIPT.INI-Dateien ab, um sich über mIRC zu verbreiten.

Die meisten Hersteller von Anti-Viren-Software stellen bereits passende Updates zur Verfügung, die den Wurm erkennen und löschen. Alle Anwender sind also aufgerufen, ihre Virenscanner schnellstmöglich zu aktualisieren.

Update:
Die Format-Routine des Virus wirkt sich auf deutschen Windows-Versionen nicht aus, weil die Bestätigung der Formatierung hier zu Lande mit "j" getätigt wird und nicht mit "y", wie bei den englischsprachigen Versionen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu den Kommentaren springen
Meistgelesen
artikel-bild
Klage
Paypal friert Konten ein und behält Geld nach 180 Tagen
artikel-bild
Elektromobilität
Ladesäulen für BP bald profitabler als Tankstellen
artikel-bild
Einführung in MQTT
Alles läuft über den Broker
artikel-bild
Krypto-Verbot
Panikverkäufe von Krypto-Mininggerät im Kosovo
artikel-bild
iPhone und Apple Watch
Apples Carkey-Funktion kommt für weitere Autos
Kommentarübersicht
Re: SUPER!!!!!
cfu 07. Jun 2002

Jetzt erkläre mal einer wie ein VB Programm die Part.C beim Start des Systems formatieren...

Re: Neuer HTML-Wurm formatiert die Festplatte
[MoRE]Mephisto 11. Jan 2002

Ach was regen wir uns denn so auf: Wer von euch hat kein deutsches Windows-System am...

Re: Neuer HTML-Wurm formatiert die Festplatte
Carsten 11. Jan 2002

Klasse, erst konnte man durch Betrachten von Websites die DOSe abstuerzen lassen (file...

Re: Neuer HTML-Wurm formatiert die Festplatte
Boris 11. Jan 2002

Mal sehen, was mit dieser Logik alles "HTML-Würmer" wären: - Badtrans (wird im...

Re: Neuer HTML-Wurm formatiert die Festplatte
eWe 11. Jan 2002

huch ich meinte 'fachkompetenz'

Aktuell auf der Startseite von Golem.de
Einführung in MQTT
Alles läuft über den Broker

MQTT eignet sich hervorragend für Sensoren und IoT-Anwendungen. Wir geben eine Einführung in das Protokoll für Machine-to-Machine-Kommunikation.
Von Florian Bottke

Einführung in MQTT: Alles läuft über den Broker
Artikel
  1. Intel SGX: Cyberlink rät zu alten CPUs für UHD-Blu-rays
    Intel SGX
    Cyberlink rät zu alten CPUs für UHD-Blu-rays

    Weil Intel kein SGX mehr unterstützt, empfiehlt Cyberlink, keine aktuelle Hardware zu nutzen und keine Software-Updates einzuspielen.

  2. Elektromobilität: Ladesäulen für BP bald profitabler als Tankstellen
    Elektromobilität
    Ladesäulen für BP bald profitabler als Tankstellen

    BP steht kurz davor, dass Schnellladestationen profitabler sind als Tankstellen. Das könnte zusätzliche Investitionen in Ladesäulen bringen.

  3. Nachfolger von Windows 10: Microsoft überarbeitet die Widgets in Windows 11
    Nachfolger von Windows 10
    Microsoft überarbeitet die Widgets in Windows 11

    Bisher gibt es im Widgets-Panel unter Windows 11 nicht viel zu sehen. Microsoft will das mit Sun Valley 2 ändern und mehr Apps integrieren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional zu Bestpreisen • WSV bei MediaMarkt • Asus Vivobook Flip 14" 8GB 512GB SSD 567€ • Philips OLED 65" Ambilight 1.699€ • RX 6900 16GB 1.489€ • Asus Gaming-Notebook 17“ 16GB 1TB SSD 1.599€ • Gainward RTX 3080 12GB 1.639€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /