Der erste PDF-Wurm wurde entdeckt
Autor ist "Zulu", der unter anderem den BubbleBoy geschrieben hat
Den vermutlich ersten PDF-Wurm hat ein argentinischer Virenbastler gebaut. Zulu ist kein Unbekannter mehr, da er auch der Autor von "BubbleBoy", "Freelinks" oder "Monopoly" ist. Der Outlook.pdf-Wurm gibt sich wie ein Beispiel und sendet sich über das Mailprogramm Outlook weiter.
Wie das Antivirenunternehmen Hispasec berichtet, ist der von diesem entdeckte Wurm nicht für eine Massenepidemie angelegt. Gefährdet ist, wer sowohl Outlook als auch das vollständige Acrobat-Programm, nicht nur den Reader, installiert hat. Überdies hat der Wurm keinerlei zerstörerische Eigenschaften, sondern soll offenbar nur demonstrieren, dass auch PDF nicht risikofrei ist. Bislang gibt es keine Programme, den PDF-Wurm zu entdecken und wieder zu entfernen.
Erhalten kann man den Wurm über Email. In der Betreffzeile können durch Zufallsauswahl verschiedene Formulierungen wie "You have one minute to find the peach", "Find" oder "Joke" stehen. Manchmal taucht auch ein "Fw:" oder ein Fragezeichen am Ende auf. In der Email steht wieder nach Zufallsauswahl beispielsweise "Try finding the peach" oder "Interesting search", ergänzt manchmal durch ein Ausrufezeichen oder ein Emoticon wie ":-)". Auch der Name der angehängten Datei, beispielsweise "find.pdf" oder "joke.pdf", wird zufällig aus sechs möglichen Versionen ausgewählt und kann manchmal in Großbuchstaben oder nur mit dem ersten Buchstaben in groß geschrieben sein.
 |
Wenn der unvorsichtige Benutzer den Anhang öffnet, taucht ein Fenster mit dem Text auf: "You have one minute to find the peach!". Unter dem Text ist eine Grafik mit kleinen Bildern, die nackte Hintern zeigen. Will man das angebliche Spiel lösen und klickt zwei Mal, wie empfohlen, auf ein solches Bildchen, dann aktiviert man den in Visual Basic geschriebenen Wurm. Zuvor aber wird der Benutzer darauf hingewiesen, dass er die Lösung nur mit einer vollständigen Version von Acrobat finden kann. Hat der Benutzer nur den Reader, so erscheinen in der Folge Fehlermeldungen.
|
|
Bei erfolgreicher Infizierung wird der Wurm aktiviert, der entweder als VBS (Visual Basic Script), VBE (VBScript Encoded) oder WSF (Windows Script File) auftritt und als erste Aktion eine Bilddatei anlegt. Dann wird die temporäre Datei gesucht, die Windows beim Öffnen angelegt hat. Und schließlich wird das Adressbuch sowie die gespeicherten Emails von Outlook durchsucht und mit einem Filter Verdoppelungen herausgesiebt. An maximal 100 Adressen versendet sich dann der Wurm weiter, vermeidet aber, sich zwei Mal von einem System durch einen Eintrag in die Registry zu verbreiten. Der Wurm versucht dann, die Mail und die temporäre PDF-Datei zu löschen, damit der Benutzer nicht merkt, dass sein Computer infiziert wurde.
- Re: Es kann ja wohl nicht so schwer sein... (9.8.2001 12:36)
- yxc<yc (8.8.2001 16:30)
- Bild in gross (8.8.2001 12:22)
Darstellungsbreite ändern
Da bei großen Monitoren im Fullscreen-Modus die Zeilen teils unleserlich lang werden, können Sie hier die Breite auf das Minimum zurücksetzen. Die einmal gewählte Einstellung wird durch ein Cookie fortgesetzt, sofern Sie dieses akzeptieren.
Aktive und passive Alien-Artefakte im Sonnensystem
SETA - Spurensuche nach dem extrasolaren Monolithen - Teil 2
