Mysteriöser Notruf-Wurm löscht Festplatten

Unter den Namen Firkin oder Chode beschreiben die Virenwächter von F-Secure einen Wurm, der sich über freigegebene Laufwerke auf PCs mit Internetzugang fortpflanzt. Der Wurm versucht von dort aus eine Art DoS-Attacke auf die US-Notrufnummer 911 und löscht Daten von der Festplatte.

Der Wurm kann sich laut F-Secure nur fortpflanzen, wenn Windows im Laufwerk C: installiert ist. Bisher ist der Wurm nur in Nord-Amerika aufgetaucht und dürfte in einem Teil seiner Schadensfunktion auch darauf begrenzt sein. Die Notrufnummer 911, die der Wurm via Modem anwählt, wird nur in den Staaten verwendet.

Der Schädling ist multifunktional und bringt ein ganzes Bündel von Dateien mit, darunter Batch- und Pif-Dateien. Auf infizierten Systemen klinkt sich der Wurm in die Autostart-Datei ein. Die Batch-Dateien arbeitet er im Hintergrund ab und erzeugt damit per Zufallsgenerator IP-Adressen, mit denen er via Ping versucht, Kontakt aufzunehmen. Findet sich eine real existierende IP-Adresse, durchsucht der Wurm das damit verbundene System nach eventuell freigegebenen Laufwerken oder Ordnern. Findet er solche mit Vollzugriff, checkt er, in welchem Verzeichnis Windows liegt und kopiert sich dorthin. Ist ein Modem am COM1- oder COM4-Port angeschlossen, wählt der Schädling unter Umständen die Notrufnummer 911. Außerdem versucht er, Festplatteninhalte zu löschen.

Ob ein System mit dem Virus infiziert ist, lässt sich mit dem Windows Explorer checken. Befindet sich unter C:\\Programme ein Ordner namens "Chode", "Foreskin" oder "Dickhair", ist der Wurm aktiv. Im Explorer muss dafür unter den Ordneroptionen "alle Dateien anzeigen" markiert sein.

F-Secure und weitere Hersteller von gängigen Anti-Virenprogrammen bieten Updates an, mit denen sich der Schädling bekämpfen lässt. (uba)