Neuer HTML-Wurm formatiert die Festplatte (Update)

JS.Gigger.A@mm verbreitet sich über E-Mail und mIRC. Zahlreiche Hersteller von Anti-Viren-Software entdeckten einen neuen in Visual-Basic geschriebenen Wurm namens JS.Gigger.A@mm, der sich sowohl via E-Mail als auch über das IRC-Programm mIRC verbreitet. Die Schadroutine des Virus ist enorm zerstörerisch, weil er alle Dateiinhalte löscht und anschließend die Partition C beim nächsten Neustart des Rechners formatiert.

11. Januar 2002 um 10:19 Uhr / Ingo Pakalski

Kommentare News folgen (öffnet im neuen Fenster)

Der Wurm versendet sich auf infizierten Systemen an alle Einträge im Outlook-Adressbuch und trägt die Betreffzeile "Outlook Express Update". Die E-Mail besteht aus dem Nachrichtentext "MSNSofware Co." sowie dem Dateianhang "Mmsn_offline.htm", der den Virencode enthält. Durch Öffnen des HTML-Mail-Anhangs werden JavaScript-Befehle ausgeführt, die den Wurm ins System einschleusen. Alternativ verbreitet sich der Schädling auch über das IRC-Programm mIRC an alle Teilnehmer, die den gleichen Chat-Kanal nutzen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Abteilungsleitung (m/w/d) Max-Planck-Institut für Radioastronomie, Bonn (öffnet im neuen Fenster)

Application Manager Medizinische Portale & Cloud-Systeme (m/w/d) Robert-Bosch-Krankenhaus GmbH, Stuttgart (öffnet im neuen Fenster)

IT-Supporter User-Helpdesk (m/w/d) NetCologne IT Services GmbH, Köln (öffnet im neuen Fenster)

Inhouse Berater:in SAP HCM (m/w/d) Hörmann Deutschland, Steinhagen (öffnet im neuen Fenster)

System Administrator Fieldservice; befristet bis Ende 2026 (m/w/d) NetCologne IT Services GmbH, Köln (öffnet im neuen Fenster)

Mitarbeiter (m/w/d) Dokumenten-Management IKK Brandenburg und Berlin, Potsdam (öffnet im neuen Fenster)

Kaufmännischer Mitarbeiter / Administrator (m/w/d) Transportmanagement / Disposition HAVI Logistics GmbH, Bingen am Rhein (öffnet im neuen Fenster)

Softwareentwickler (m/w/d) SPS Beckhoff Automation GmbH & Co. KG, Verl (öffnet im neuen Fenster)

Der E-Mail-Wurm selbst legt sich unter verschiedenen Dateinamen auf der C-Partition, aber auch auf Netzwerk-Laufwerken ab. Die Dateien C:\B.HTM, C:\BLA.HTA, C:\WINDOWS\help\mmsn_offline.htm und C:\WINDOWS\SAMPLES\WSH\Charts.js verraten eine Wurm-Infektion. Auf Netzwerk-Laufwerken nistet sich der Schädling zudem unter \Windows\Start Menu\Programs\StartUp\Msoe.hta ein. Dann füllt JS.Gigger.A@mm den Inhalt der Dateien .ASP, .HTM, und .HTML mit dem Virencode und löscht den Inhalt zahlreicher Dateien, so dass nur 0 Byte lange Daten übrig bleiben. Anschließend überschreibt der Wurm den Inhalt der Konfigurationsdatei C:\AUTOEXEC.BAT mit dem Befehl "Echo y|format c:", so dass beim nächsten Neustart des Rechner Laufwerk C ohne Rückfrage formatiert wird. Nun legt der Schädling noch spezielle SCRIPT.INI-Dateien ab, um sich über mIRC zu verbreiten.

Die meisten Hersteller von Anti-Viren-Software stellen bereits passende Updates zur Verfügung, die den Wurm erkennen und löschen. Alle Anwender sind also aufgerufen, ihre Virenscanner schnellstmöglich zu aktualisieren.

Update:
Die Format-Routine des Virus wirkt sich auf deutschen Windows-Versionen nicht aus, weil die Bestätigung der Formatierung hier zu Lande mit "j" getätigt wird und nicht mit "y", wie bei den englischsprachigen Versionen.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Relevante Themen