|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
W95.Plage
alias W95.Plage.Wurm, Plage2000
W95.Plage ist ein weiteres Exemplar der bekannten und leider ungemein "produktiven" VX Gruppe 29A Labs.
Der Plage ist ein typischer Vertreter, der Gattung "Worm". Er verfügt über keine direkte Payload (=Schadensfunktion),
wie die meisten anderen Würmer, aber auf Grund der Verbreitungsroutinen führt eine Infektion des Plage unter Umständen zu
massivem und vor allem unerwünschtem Mailtraffic. Das Wurm selbst ist dabei vom Mailclient völlig unabhängig, egal ob
Outlook, MS-Mail oder andere Mailprogramme . Da die im Plage verwendeten Routinen darüber hinaus Fehler enthalten, ist
auch mit Programmabstürzen während der Verbreitung zu rechnen.
Im Gegensatz zu anderen Würmern, verwendet der Plage jedoch nicht die im Adress-Folder befindlichen Adressen, um sich
selbst zu versenden, sondern er antwortet automatisch auf noch ungelesene eMails. Womit zumindest eine ungewollte
Weitergabe von möglicherweise internen Informationen nicht passiert.
Dabei setzt der Autor des Wurms ziemlich geschickt auf den "Wiedererkennungswert" um auch ansonsten kritische Anwender zu
täuschen. Im Subject übernimmt er den vom Absender verwendeten Betreff und im Mail selbst plaziert er nachstehenden Text:
I'll try to reply as soon as possible.
Take a look to the attachment and send me your opinion!
> Get your FREE P2000 now! <
Das Attachment besteht im Regelfall aus einer EXE-Datei, deren Name vom Virus beliebig verändert werden kann womit ein
wirklich sicheres Indiz nur der Text im Mail selbst ist. Sollte einer der Dateinamen zusätzlich noch auf
billgt.exe, card.exe, docs.exe, fun.exe, hamster.exe, humor.exe, images.exe, joke.exe, midsong.exe, news_doc.exe, pics.exe,
PsPGame.exe, searchURL.exe,
SETUP.EXE, s3msong.exe oder tamagotxi.exe
lauten, dann riecht die Sache schwer nach Plage !!
Wird das Attachment vom Anwender dennoch gestartet, nehmen die Dinge seinen Lauf.
Mit einer getarnten Fehlermeldung faked (=täuscht) der Wurm den Anwender, daß die Datei beschädigt sei und nicht gestartet
werden können. In Wahrheit hat sich der Wurm zu diesem Zeitpunkt schon als INETD.EXE ins Windows Verzeichnis kopiert und
mit dem obligaten Vermerk in der Registry und Win.ini sichergestellt, daß er auch bei jedem Neustart des PC´s erfolgreich
selbst gestartet wird.
Ganz klar wird die Sache, sollte ein infizierte PC an einem Mittwoch von 12 Uhr Mitternacht bis 2 Uhr morgens noch im
Betrieb sein, dann versucht der Plage ein Bitmap auf dem sich Adolf Hitler während eines Kopfschusses dargestellt wird und
dem Text "Fight against the plage of inhumanity. This is Plage 2000 coded by Bumblebee/29a._Plage 2000 " auf den Monitor
aufzupoppen !
Wir empfehlen mit Nachdruck, keine Attachments unbekannter Herkunft zu starten, schon gar nicht, wenn es sich um
ausführbare (also etwa EXE- Dateien handelt) ! Die Folgen können fatal sein. Löschen Sie diese Files wenn möglich sofort.
Aktivieren Sie, wenn möglich, sofort einen eMail-Filter, der Attachments mit Executeables (mit o.g. Namen), abblockt bzw.
in dafür vorgesehene Quarantänebereiche stellt. Ein Update Ihres Virenschutzprogramms ist immer zu empfehlen.
|
|
Linktipps: Mit mobilem Internet surfen
|
|
|
|
