Hi leute neuer Virus:
NAME: Vote
ALIAS: WTC, W32/Vote@mm, I-Worm.Vote
TYP: Wurm (geschrieben in Visual Basic)
F-PROT: wird erkannt und beseitigt
Gefahr **** (mittel-hoch) [Hoch falls der Benutzer das Attachment öffnet]
Herkunft ?
Datum: 24.09.2001
Vote ist ein einfacher Visual-Basic Virus, der die WTC-Tragödie (World-Trade Center) ausnutzt, damit er ausgeführt wird. Ausserdem verbreitet er sich über E-MAIL als Massen-Mail-Wurm.
Offenbar wurde er von einem "Jugendlichen" in die Welt gesetzt, da er sehr einfach programmiert wurde.
Vote wurd am 24. September 2001 entdeckt, 13 Tage nach der schrecklichen Tragödie in den USA.
Bis jetzt gibt es keine Anzeichen dafür, dass der Wurm sich frei verbreitet (Stand 25.9.2001). Wahrscheinlich wird er sich auch kaum ausbreiten.
Programm-Code (binärer Teil)
Der Wurm benutzt das Standard Windows Mail API, um an das Adressbuch zu gelangen. Damit sind Benutzer von MAPI-kompatiblen Mail-Clients betroffen, hauptsächlich Benutzer von Microsoft Outlook
Die E-MAIL, die der Wurm verschickt, sieht folgendermaßen aus:
Von: Name-des-infizierten-Benutzers
An: Zufalls-Name-aus-dem-Adressbuch
Betreff: Fwd
eace BeTween AmeriCa and IsLaM !
Hi
iS iT waR Against AmeriCa Or IsLaM !?
Let's Vote To Live in Peace!
Attachment: WTC.exe
Folgende Dateien werden von der Festplatte gelöscht:
'C:\Program Files\AntiViral Toolkit Pro\*.*'
'C:\eSafe\Protect\*.*'
'C:\Program Files\Command Software\F-PROT95\*.*'
'C:\PC-Cillin 95\*.*'
'C:\PC-Cillin 97\*.*'
'C:\Program Files\Quick Heal\*.*'
'C:\Program Files\FWIN32\*.*'
'C:\Program Files\FindVirus\*.*'
'C:\Toolkit\FindVirus\*.*'
'C:\f-macro\*.*'
'C:\Program Files\McAfee\VirusScan95\*.*'
'C:\Program Files\Norton AntiVirus\*.*'
'C:\TBAVW95\*.*' 'C:\VS95\*.*'
Dadurch sollen einige Antiviren-Produkte unbrauchbar gemacht werden.
Trojan Installation
Der Wurm öffnet zwei Internet-Explorer Fenster. Das eine Fenster versucht den Trojaner Barrio 5.0 herunterzuladen und setzt die Startseite des Explorers auf diese Adresse.
Das Trojaner-Programm Barrio ist hauptsächlich dazu entwickelt worden, Passwörter auf einem System zu sammeln und zu versenden. Er kann Einwahl-Passwörter, ICQ UIN und Passwörter, u.a. ausspähen und dann an eine vordefinierte E-MAIL-Adresse senden.
Script-Komponenten
'[windows_Verzeichnis]\MixDaLaL.vbs' ist ein Visual Basic Skript, das alle erreichbaren lokalen und Netzwerk-Laufwerke nach .HTM und .HTML Dateien durchsucht. Der Inhalt aller dieser Dateien wird durch folgenden Text ersetzt:
'AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You .'
'ZaCker.vbs' wird im Windows-System-Verzeichnis abgelegt und in der Registry eingetragen unter '[HKLM]\Software\Microsoft\Windows\CurrentVersion\run\Norton.Thar', wodurch diese Datei beim nächsten Systemstart ausgeführt wird.
ZaCker.vbs löscht zunächst alle Dateien im Windows-Verzeichnis und gibt dann diese Meldung aus:
Danach ändert dieses Skript die autoexec.bat so ab, dass beim nächsten Systemstart Laufwerk C: formatiert wird. Dieser Teil des Skripts wird abgebrochen, so dass die autoexec.bat leer bleibt. Er versucht einen Neustart des Systems, was aber nicht durchgeführt werden kann, da die Programme zur Ausführung des Reboots gelöscht wurden.
Anleitung zur Beseitigung
Sobald der Wurm aktiviert wurde, darf das System zunächst nicht neu gestartet werden, bevor nicht Vote beseitigt wurde, andernfalls wird die Schadfunktion des Programms ausgeführt.
Die folgenden Dateien müssen entfernt werden:
'[windows_Verzeichnis]\WTC.EXE'
'[windows_Verzeichnis]\MixDaLaL.vbs'
'[system_Verzeichnis]\ZaCker.vbs'
Dieser Registry-Eintrag muss gelöscht werden:
'[HKLM]\Software\Microsoft\Windows\CurrentVersion\run\Norton.Thar'
Oben erwähnte Anwendungen (Anti-Viren-Programme) müssen wieder installiert werden, falls sie auf dem System vorhanden waren.
Alle gelöschten .HTM und .HTML- Dateien müssen von einer Sicherungskopie wieder eingespielt werden.