Web

Virus W32.Vote: Kompletter Datenverlust

25.09.2001

MÜNCHEN (COMPUTERWOCHE) - Seit gestern treibt der Virus "W32.Vote.A@mm" sein Unwesen. Er tarnt sich als Umfrage zur Reaktion der USA auf die Terroranschläge auf das World Trade Center am 11. September. Der Schädling verbreitet sich via E-Mail über das Windows-Adressbuch, das die Microsoft-Mailprogramme Outlook und Outlook Express nutzen, so der Sicherheitsspezialist Simon Perry von Computer Associates. Zu erkennen ist er an dem Betreff "Peace between America and Islam", dem Text "Hi. Is it a war against America or Islam? Let´s vote to live in peace!" und dem Anhang "WTC.exe". Außerdem befällt er alle Webseiten, die auf einem infizierten Rechner gehostet werden. Diese versieht er mit dem Text "AmeRiCa...Few Days WiLL Show You What We Can Do !!! It´s Our Turn ZaCkEr is So Sorry For You."

Sobald die "WTC.exe" geöffnet wird, installiert der Virus die Visual-Basic-Scripts "ZaCker.vbs" und "MixDaLaL.vbs" in das Systemverzeichnis. Laut Symantec ist die MixDaLaL.vbs für die Infektion der Webseiten zuständig. ZaCker.vbs wird durch einen Eintrag in der Registrierdatenbank beim Neustart des Rechners aktiv. Dann formatiert das Script die Startpartition der Festplatte.

Experten glauben nicht, dass der Virus tatsächlich von den verantwortlichen Terroristen stammt. Sie vermuten einen Trittbrettfahrer als Urheber.