Melissa-Klon löscht Festplatten

Die Klone des Melissa-Wurms werden immer gefährlicher. Mit W32.Mypics.Worm ist jetzt eine Variante aufgetaucht, die versucht, die lokalen Festplatten zu formatieren.

Betroffen sind Windows 9x und NT. Wie bei Melissa üblich, verschickt sich der Wurm über Outlook an 50 Adressen. Anders als der Original Melissa-Wurm und die meisten seiner Klone hat W32.Mypics eine stark erweiterte Schadfunktion. Der Wurm nistet sich laut Antivirenhersteller Symantec resident im Speicher ein und wird, indem er die Systemzeit abfragt, erst im Jahr 2000 aktiv. Der Tag ist dabei nicht zwingend der 1. Januar. Findet der Wurm das Jahr 2000 in der Systemuhr, ändert er mit einer Datei namens CBIOS.COM die Einstellungen des BIOS und außerdem die autoexec.bat. Beim nächsten Kaltstart nach dieser Aktion gibt der PC die BIOS-Warnmeldung "CMOS Checksum Invalid" aus. Behebt der Benutzer diesen Schaden, versucht der Wurm in Phase zwei durch die geänderte autoexec.bat die lokalen Festplatten C: und D: zu formatieren. Hat der Wurm die autoexec.bat geändert, ist sie 64 KByte groß. Ein weiteres Indiz für die Infizierung ist eine veränderte Startseite im Internet Explorer. Statt der vom Benutzer vorgegeben Site, erscheint eine mit teilweise pornografischen Inhalten, die sich dort hinter dem Button "adults only" verbergen.

Abhilfe schaffen Updates der gängigen Virenprogramme. Händisch kann der Wurm laut Symantec entfern werden, indem man über den Taskmanager die Anwendung MYPICS schließt. Anschließend entfernt man je nach Betriebssystem folgende Registry-Einträge:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run= C:\\Pics4You.Exe

Oder

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\WindowsNT\\ Windows\\Run= C:\\Pics4You.Exe.

Falls die Datei CBIOS.COM existiert, löscht man sie. Außerdem muss die autoexec.bat auf Veränderungen gecheckt werden. Die letzten beiden Maßnahmen gelten nur, wenn das Datum bereits auf 2000 umgestellt ist. Außerdem sollte man nach der Datei Pics4you.exe suchen und sie löschen. (uba)