Vote-Virus - Trittbrettfahrer nutzt Terroranschlag

Ein neuer Wurm tarnt sich als Umfrage zum Kampf der USA gegen den Terrorismus. Der Wurm namens "W32.Vote" erscheint mit der Betreffzeile "Peace between America and Islam".

Im Text der Mail heißt es: "Hi. Ist es ein Krieg gegen Amerika oder gegen den Islam!? Lasst uns abstimmen, damit wir in Frieden leben." Im Anhang befindet sich die Datei WTC.EXE. Wird diese von unvorsichtigen Benutzern ausgeführt, installiert der Wurm zwei .VBS-Dateien im Windows- und Windows/System-Verzeichnis (ZaCker.vbs. MixDaLaL.vbs). MixDaLaL.vbs wird nach Erkenntnissen von Symantec sofort ausgeführt und versucht alle HTM/HTML-Dateien mit einer Botschaft zu überschreiben: "AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn ZaCkEr is So Sorry For You."

ZaCker.vbs trägt sich in die Registry ein. Beim Neustart versucht das Programm das Windows-Verzeichnis zu löschen, überschreibt die AUTOEXEC.BAT und beginnt mit der Formatierung des Laufwerks C:. Anschließend zeigt der Virus eine Botschaft und versucht den Rechner herunterzufahren. Da diverse Dateien, die dafür nötig sind, zuvor gelöscht wurden, gelingt das in der Regel nicht.

Der Schädling verbreitet sich über die Adresseinträge in Microsoft Outlook. Experten sagten, es gebe keine Hinweise, dass er mit den Anschlägen vom 11. September in Verbindung stünde. Der Programmierer sei vermutlich ein Trittbrettfahrer.

Ein Signatur-Update der Antiviren-Software kann den Schädling entfernen. Allerdings besteht die Gefahr, dass das System bereits zu weit geschädigt ist. Dann hilft nur noch eins: Windows neu aufspielen.

Weitere Hintergründe zu Virentechnologien bieten unser Grundlagenbeitrag zum Thema wie auch der Report: Viren unter Linux. Einen Test aktueller Virenscanner finden Sie hier. (uba)