ÜBER SYMANTEC

  • Hinzufügen

Pressemitteilungen

Computerwurm alarmiert Notruf

Ratingen, 4. April 2000 - Symantec berichtet von einem Computerwurm, der derzeit in den USA und Kanada sein Unwesen treibt. Das Besondere an BAT.Chode.Worm: Er versucht bei jeder fünften Infektion, die amerikanische Notrufnummer 911 anzurufen. Zusätzlich löscht er an jedem 19ten eines Monats Dateien im Laufwerk C. Symantec stellt für Benutzer von Norton AntiVirus ein Gegenmittel zum Herunterladen bereit.
Laut Eric Chien, Leiter des Virenforschungslabors von Symantec in Europe (Leiden, Niederlande), ist der Wurm gleich in zweierlei Hinsicht gefährlich: "Chode zerstört zum Einen Dateien im Laufwerk C. Das kann jeden PC-Besitzer weltweit treffen, der keinen aktuellen Virenschutz besitzt. Das Heimtückische an dem Wurm jedoch ist, dass er PCs dazu bringt, die Notfallnummer 911 anzurufen. Bei einer raschen Ausbreitung könnte das theoretisch dazu führen, dass die Notrufzentrale für echte Notfälle nicht mehr erreichbar ist." Eine Anpassung der Funktion auf europäische Nummern sei laut Chien keine große technische Herausforderung für Virenprogrammierer, deswegen sollten auch PC-Besitzer in Europa sich nicht in Sicherheit wiegen. Chien warnt jedoch zugleich vor Panik: "Wer sein Virenschutzprogramm aktualisiert, ist auf der sicheren Seite."

BAT.Chode.Worm erzeugt mit Hilfe von DOS-Batch-Dateien (.BAT) eine Liste zufälliger Internetadressen von Computern (IP-Adressen) von bekannten Internet Service Providern. Zu den betroffenen Internet Service Providern gehören ATT Worldnet, BellSouth Net, Level3 Net, America Online, Mindspring, Earthlink, Air.Internet in Kanada und PSInet. Dann versucht sich der Virus mit jedem Computer zu verbinden, der an eine dieser IP-Adressen angeschlossen ist, um einen zugänglichen Computer ohne Passwortschutz mit einem freigegebenen Netzlaufwerk C zu finden. Falls er ein freigegebenes Laufwerk C findet, kopiert der Wurm seine Dateien auf diesen anderen Computer. Dabei verändert oder ergänzt er folgende Objekte:
  • Er fügt der Startdatei C:\AUTOEXEC.BAT den Aufruf einer Batch-Datei hinzu, um mit dem Computermodem die Notrufnummer 911 zu wählen. Diese Veränderung tritt bei jeder fünften Infektion auf.

  • Er fügt der Autostart-Gruppe zwei neue Programme hinzu: ASHIELD.PIF verweist auf das Win32 Freeware-Programm ASHIELD.EXE, das Programmaktivitäten versteckt - in diesem Fall die Aktivität des Wurmes bei seinem Start. Außerdem dient NETSTAT.PIF dazu, das Dienstprogramm Netzwerkmonitor zu verbergen.

  • Er fügt der Autostart-Gruppe auf der infizierten Maschine die VBS Script-Datei WINSOCK.VBS hinzu, die den Virus-Code enthält.

  • Er registriert die Infektion in einer speziellen Protokolldatei auf dem Ausgangscomputer.

Nach der Infektion eines Systems startet der Wurm die Datei WINSOCK.VBS beim Booten des Computers. Am 19. jedes Monats löscht der Wurm Dateien aus den folgenden Ordnern:
  • C:\windows

  • C:\windows\system

  • C:\windows\command

  • C:\

Anschließend zeigt er die folgenden beiden Meldungen an:

"You Have Been Infected By Chode"
"You may now turn this piece of sh#@ off!"
Ihr Ansprechpartner (NUR PRESSE!) für weitere Informationen, Fotos und Rezensionsexemplare.
Ein hochauflösendes Boxfoto finden Sie zum Download im Pressezentrum.
Hier finden Sie weitere Informationen über das Produkt.
Hier können Sie die Pressemeldung als komprimierte Word-Datei herunterladen.