Original-URL des Artikels: https://www.golem.de/0201/18020.html    Veröffentlicht: 30.01.2002 10:15    Kurz-URL: https://glm.io/18020

Wurm W32.Whitebait@mm verbreitet sich über E-Mail und IRC

Verseuchte E-Mail trägt eine gefälschte Absenderadresse von Microsoft

Wie Symantec, ein Hersteller von Anti-Viren-Software, berichtet, verbreitet sich seit kurzem ein Mail-Wurm mit der Bezeichnung W32.Whitebait@mm sehr stark, indem er sich über IRC und E-Mail versendet. Um möglichst viele Adressaten zu erreichen, durchforstet der Wurm perfiderweise zahlreiche lokale Dateien nach E-Mail-Adressen. Das Outlook-Adressbuch beachtet er dabei gar nicht und enthält auch keine Schadroutine.

Im Grunde besteht W32.Whitebait@mm aus einer Host-Anwendung und der Wurm-Komponente, die beide UPX-komprimierte Delphi-Applikationen sind. Der Host-Teil verbreitet sich über IRC-Channels als Programm, das Porno-Bilder enthält. Wenn es gestartet wird, zeigt es tatsächlich solche Bilder an, infiziert aber dabei den PC. Dazu kopiert sich das Programm als MSsecu.exe ins Windows-Verzeichnis, legt die Wurm-Komponente im gleichen Verzeichnis als WinSystem.exe ab und startet den Wurm.

Wenn der Wurm aktiviert ist, trägt er sich so in die Registry ein, dass er bei jedem Neustart des Rechners geladen wird. Anschließend durchsucht er alle Dateien mit den Endungen .htm, .html, .php und .asp sowie Readme.txt-Dateien nach E-Mail-Adressen und speichert diese in der Datei Bdm.com, die im Windows-Verzeichnis abgelegt wird. Über einen eigenen SMTP-Client versendet sich der Wurm nun an alle gefundenen Adressaten.

Die E-Mail trägt den Betreff "WARNING : Black_Piranha" und den französischen Nachrichtentext "Si vous pouvez lire cet e-mail, c'est que les services Microsoft on détecter la présence du virus Black_Piranha dans votre système Windows. pour désinfecter votre système vous n'avez qu'a exécuter le programme en piece jointe. Pour plus d'informations : http:/ /www.microsoft.com". Zudem besitzt die E-Mail die gefälschte Absenderadresse "security@microsoft.com", was viele Anwender in den Irrglauben versetzt, dass diese Nachricht von Microsoft stamme. Die Wurm-Komponente selbst steckt im Dateianhang, der den Namen MSsecu.exe trägt.

Symantec bietet bereits aktualisierte Virensignaturen zum Download an. Weitere Hersteller von Antiviren-Software werden sicherlich in Kürze folgen.  (ip)


© 1997–2020 Golem.de, https://www.golem.de/