Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

21.04.2000 - 

Virus baut Verbindung zu Notrufnummer auf

Computerwurm löscht das Windows-Verzeichnis

MÜNCHEN (CW) - Ein neuer Computerwurm treibt in den USA und Kanada derzeit sein Unwesen. Der Erreger mit der Bezeichnung "BAT.Chode.Worm" löscht das Windows-Verzeichnis und verbindet den Rechner mit der amerikanischen Notrufnummer.

Nach den Worten von Eric Chien, Leiter des Virenforschungslabors von Symantec in Europa, ist der Wurm in zweierlei Hinsicht gefährlich: "Chode zerstört Dateien im Laufwerk C. Das Heimtückische an dem Wurm jedoch ist, dass er selbständig die Notfallnummer 911 anruft. Bei einer raschen Ausbreitung könnte das theoretisch dazu führen, dass die Notrufzentrale für echte Notfälle nicht mehr erreichbar ist."

BAT.Chode.Worm erzeugt mit Hilfe von DOS-Batch-Dateien (.BAT) eine Liste zufälliger IP-Adressen bekannter Internet-Service-Provider. Zu den betroffenen Anbietern gehören ATT Worldnet, Bell South Net, Level 3 Net, America Online, Mindspring, Earthlink, Air.Internet in Kanada und Psinet. Anschließend versucht sich der Virus mit jedem Computer zu verbinden, der an eine dieser IP-Adressen angeschlossen ist. Daraufhin verknüpft der Virus die Startdatei "Autoexec.bat" mit dem Aufruf einer Batch-Datei hinzu und wählt die US-amerikanische Notrufnummer 911. Ferner fügt der Erreger der Autostart-Gruppe zwei neue Programme hinzu: Ashield. pif verweist auf das Win32-Freeware-Programm Ashield.exe, das Programmaktivitäten versteckt - in diesem Fall die Aktivität des Wurmes bei seinem Start.

Außerdem dient Netstart.pif dazu, das Dienstprogramm Netzwerkmonitor zu verbergen. Schließlich verbindet der Virus die Autostart-Gruppe mit der Script-Datei "Winsock.vbs", die den eigentlichen Virus-Code enthält. Nach der Infektion eines Systems startet der Wurm die Datei Winsock.vbs beim Booten des Computers. Am 19. jedes Monats, so Symantec weiter, löscht der Wurm Dateien aus den Ordnern C:\windows, C:\windows\system, C:\windows\ command und C:\. Anschließend zeigt er die folgenden beiden Meldungen an: "You Have Been Infected By Chode". "You may now turn this piece of sh#@ off!"