Web

Trojanisches Pferd "Sysbug" lockt mit nackter Haut

26.11.2003

MÜNCHEN (COMPUTERWOCHE) - Virenexperten warnen vor dem Trojanischen Pferd "Sysbug", das sich seit Dienstag via E-Mail verbreitet. Um die Schadroutine auszulösen, müssen Anwender das mitgelieferte Attachment starten, in dem sich angeblich Bilder einer wilden Sex-Orgie befinden. Der Wurm spioniert E-Mail-Accounts sowie Remote-Access-Informationen aus und öffnet den TCP-Port 5555, über den er vom Urheber ferngesteuert werden kann.

Infizierte Mails kommen vom Absender "james2003@hotmail.com" und führen die Betreffzeile "Re[2]: Mary". Zu erkennen sind sie außerdem am Nachrichtentext

Hello my dear Mary,

I have been thinking about you all night. I would like to apologize for the other night when we made beautiful love and did not use condoms. I know this was a mistake and I beg you to forgive me. I miss you more than anything, please call me Mary, I need you. Do you remember when we were having wild sex in my house? I remember it all like it was only yesterday. You said that the pictures would not come out good, but you were very wrong, they are great. I didn't want to show you the pictures at first, but now I think it's time for you to see them. Please look in the attachment and you will see what I mean.

I love you with all my heart, James.

sowie am Attachment "Private.zip".

Einmal ausgeführt, kopiert sich der Wurm mit der Bezeichnung "Sysdeb32.exe" in das Windows-Verzeichnis. Außerdem legt die Schadroutine den Eintrag "SystemDebug"="%Windir%\Sysdeb32.exe" im Schlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" der Registrierdatenbank an. Dadurch wird sie bei jedem Windows-Start automatisch aktiviert.

Experten raten dazu, unter den Windows-Versionen ME und XP die automatische Systemwiederherstellung zu deaktivieren, und unter Windows NT, 2000 und XP den entsprechenden Prozess zu beenden, um den Virus von der Festplatte zu entfernen. Die Betriebssystem-Versionen 95, 98 und ME müssen im abgesicherten Modus hochgefahren werden. Danach lässt sich eine installierte Antiviren-Software starten. Technisch versierte Anwender können den Virus auch manuell entfernen. Dazu löschen sie den Registry-Eintrag und die EXE-Datei aus dem Windows-Verzeichnis. Darüber hinaus empfiehlt es sich, die Festplatte nach weiteren Dateien mit dem Namensbestandteil "Sysbug" zu durchsuchen und diese ebenfalls zu entfernen. (lex)