Vier Varianten des E-Mail-Wurms MyLife.B treiben ihr Unwesen
Verbreitung über das Outlook-Adressbuch
Dem vor rund einer Woche aufgetauchten E-Mail-Wurm 'W32.MyLife.B@mm' wurden nun gleich vier weitere gefährliche Gesellen an die Seite gestellt, die sich über das Internet stark verbreiten. Alle vier Unholde löschen zahlreiche Dateien auf der lokalen Festplatte oder versuchen, mehrere Partitionen zu formatieren.
Die vier Varianten von MyLife.B tragen statt dem "B" in aufsteigender Reihenfolge die nachfolgenden Buchstaben des Alphabets, hören also auf die Namen MyLife.C, MyLife.D, MyLife.E sowie MyLife.F. Die Schadroutine der Würmer MyLife.D und MyLife.E ähnelt sich stark, während diese bei MyLife.C und MyLife.F sogar identisch ist. Alle vier Würmer vermehren sich über das Internet, indem sich die Bösewichter an alle Einträge im Outlook-Adressbuch sowie an alle Adressen in der Contact-List im MSN-Messenger versenden.
Die Wurm-E-Mails tragen je nach Version vier verschiedene Betreffzeilen: So kann eine verseuchte E-Mail den Betreff "New Screen Saver", "The List", "sexxxyyy Screen Saver" oder "the list" tragen. Die den eigentlichen Wurm tragenden Dateianhänge heißen "LIST.TXT.scr", "Screen.scr" oder "List480.TXT.scr". Die doppelten Dateiendungen sorgen in zahlreichen E-Mail-Clients dafür, dass man nur die txt-Endung sieht und so nicht erkennt, dass es eigentlich Bildschirmschoner (scr) sind, die gefährliche Inhalte beherbergen. Außerdem ändert sich auch der Nachrichtentext je nach Version des MyLife-Wurms. Alle vier Würmer tragen sich nach der Aktivierung in die Registry ein, damit sie bei jedem Windows-Start automatisch gestartet werden.
MyLife.E und MyLife.D werden aktiv, sobald der jeweilige Wurm das zweite Mal gestartet wurde. Dann löscht MyLife.E alle Dateien im Wurzelverzeichnis der Laufwerke C: bis G: sowie sämtliche Dateien im Verzeichnis C:\My Documents\, was auf deutschen Systemen keine Auswirkung haben sollte. Darüber hinaus entfernt der Wurm alle Dateien mit den Endungen .exe, .ini und .sys, im Windows-Verzeichnis sowie im Windows-System-Verzeichnis alle Dateien mit .sys und .sxd am Ende. Nach getaner Arbeit erscheint eine Dialogbox mit der Titelzeile "LoOoOoL" und dem Text "My Life.C". Der Wurm MyLife.D hingegen vernichtet alle Dateien im Wurzelverzeichnis von Laufwerk C: und löscht alle Dateien mit den Endungen .sys und .vxd im Windows- und Windows-System-Verzeichnis. Eine Dialogbox erscheint hier nicht. Stattdessen wird eine E-Mail an zary2000@email.com gesendet, die den Betreff "New Screen Saver" sowie den Nachrichtentext "New NeverHood buy" trägt.
Ähnlich wie MyLife.B schlagen MyLife.C und MyLife.F zu einem bestimmten Zeitpunkt zu: Wenn die Uhrzeit zwischen 50 Minuten und einer vollen Stunde liegt, versuchen beide Würmer, die Laufwerke C: sowie E: bis I: zu formatieren und zeigen die gleiche Dialogbox wie MyLife.E an.
Zahlreiche Hersteller von Anti-Viren-Software stellen bereits aktualisierte Virensignaturdateien für ihre Virenscanner zum Download bereit, die alle vier Würmer erkennen und vernichten können.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed