W32.VOTE.A
Das Vote.A Virus ist das erste Virus, daß auf die aktuelle politische Lage Bezug nimmt aber in seiner Ausbreitung, bis dato, glücklicherweise jedoch nur sehr mickrige Erfolge vorweisen konnte. Übertriebene Angst ist ebenso fehl am Platz wie die Sorge, das Virus könnte Ausmasse wie etwas NIMDA oder SIRCAM vor Ihm erreichen.
Das Virus befällt alle Win32 Bit Betriebssysteme (W95/W98/ME/NT/2000) und verbreitet sich wie nicht anders zu erwarten ausschließlich via eMail. Wird es gestartet, liest es die eMail Adressen aus dem MS-Outlook Adress Buch aus um sich an diese Adressen weiter zu verschicken. Die Benutzer anderer Betriebssysteme bzw. Mailclients werden durch dieses Virus nicht getroffen.
Der Betreff sowie Mailtext und Subject sind im Falle des W32.Vote Viruses immer gleich, was eine Erkennung für den Anwender um einiges erleichtert. Das Virus erhalten sie als eMail unter folgenden Merkmalen:
Betreff: ".Peace BeTweenAmeriCa And IsLam"
Mailtext: "Hi! iS iT A waR Against AmeriCa Or IsLam!
Let's Vote To Live in Peace!"
Attachment: "WTC.EXE" (Größe 55,808 bytes)
Erhalten Sie so ein Mail, löschen Sie es umgehend. Durch das blosse lesen des eMails entsteht in diesem Fall keine Gefahr. Wird das Attachment dennoch gestartet versucht das Virus jedoch sein Schadenspotential zu entfalten, daß recht “unangenehm” werden kann.
Allerdings bedarf es dazu eines Rechnerneustart´s, also eines Reboots; solange dieser NICHT durchgeführt wird, kann auch das Virus seine Schadensfunktion, alle Verzeichnisse aus dem Windows Folder zu löschen und alle HTM und HTML Dateien zu überschreiben.
Auch der Download eines eigenen Backdoor-Programm´s, eines Trojaners mit dessen Hilfe ein Angreifer in Folge Zugriff auf befallen Festplatten erlangt ist erst nach einem Reboot und funktionierenden Internetanbindung gegeben. (Es steht zu erwarten, daß die Seite über das Virus den Trojaner nachzuladen versucht, aber mittlerweile gesperrt wurde, was es dem Virus unmöglich macht noch weitere Dateien auf den befallenen Rechner nachzuladen)
Damit nicht genug, sucht das Virus gezielt nach vorhandenen Antiviren Programmen um diese löschen.
Ein Infektion durch das Virus erkennen Sie neben den Einträgen in der Outgoing-Box Ihres Outlook Mailprogramm´s auch dadurch, daß das Virus die Dateien
"WTC.EXE", "MixDaLaL.VBS" und "Zacker.VBS"
direkt ins Rootverzeichniss C:\ bzw. C:\Windows\System kopiert. Um beim Reboot (Neustart) verlässlich aktiviert zu werden, trägt sich das Virus in die Registry ein:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunNorton.Thar="C:\WINDOWS\SYSTEM\ZaCker.vbs"
Mit einem weiteren Registry Eintrag, manipuliert es die Startseite des Internet Exploreres um den Link us.f1.yahoofs.com/users/da36d538/bc/..... (Trojanerdatei) einzufügen. Über diesen Link der auf eine mittlerweile gesperrte Seite linkt hätte das Virus besagtes Trojaner Programm nachgeladen.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Start Page=us.f1.yahoofs.com/users/da36d538/bc/..... (Trojanerdatei)
Die ebenfalls vom Virus erzeugt MixDaLaL.VBS sucht nach allen HTM und HTML Dateien um diese mit der Nachricht
AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>>
ZaCkEr is So Sorry For You .
zu überschreiben und somit unbrauchbar zu machen. Beim nächsten Neustart der Maschine weißt die "ZACKER.VBS" Datei dies Autoexec.Bat Datei mit einem Kommando an die C: Festplatte zu löschen.
Tipp vom Virendoktor:
Wir empfehlen mit Nachdruck keine Attachments mit der Endung EXE zu starten, von denen nicht sicher gestellt ist, welche Aktionen sie tatsächlich auslösen. Stehen Sie JEDEM ausführbaren Dateianhang kritisch gegenüber! Löschen Sie Attachments im Zweifelsfall. Starten Sie keine Attachments ohne diese vorher auf Viren geprüft zu haben.
Aktivieren Sie wenn möglich einen eMail Filter, der Attachments, die Executables enthalten, abblockt bzw. in eigens dafür vorgesehene Quarantänebereiche stellt.
Ein Update Ihres Virenschutzprogammes ist empfehlenswert.
Entfernung:
Wird das Virus von Ihrem Virenschutzprogramm entdeckt, entfernen Sie alle Dateien mit dem Namen "WTC.EXE", "MixDaLaL.VBS" und "Zacker.VBS".
Entfernen Sie die vom Virus angelegten Registry-Einträge
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run und entfernen Sie den Eintrag
Norton.Thar="C:\WINDOWS\SYSTEM\ZaCker.vbs"
und
HKEY_CURRENT_USER\Software\Microsoft\ Internet Explorer\Main Start und entfernen Sie den Eintrag
valuePage=us.f1.yahoofs.com/users/da36d538/bc/.... (Trojanerdateiname)
Entfernen Sie den "echY | format C" Eintrag aus Ihrer Autoexec.bat Datei.
Gruss
L.M.
Das Vote.A Virus ist das erste Virus, daß auf die aktuelle politische Lage Bezug nimmt aber in seiner Ausbreitung, bis dato, glücklicherweise jedoch nur sehr mickrige Erfolge vorweisen konnte. Übertriebene Angst ist ebenso fehl am Platz wie die Sorge, das Virus könnte Ausmasse wie etwas NIMDA oder SIRCAM vor Ihm erreichen.
Das Virus befällt alle Win32 Bit Betriebssysteme (W95/W98/ME/NT/2000) und verbreitet sich wie nicht anders zu erwarten ausschließlich via eMail. Wird es gestartet, liest es die eMail Adressen aus dem MS-Outlook Adress Buch aus um sich an diese Adressen weiter zu verschicken. Die Benutzer anderer Betriebssysteme bzw. Mailclients werden durch dieses Virus nicht getroffen.
Der Betreff sowie Mailtext und Subject sind im Falle des W32.Vote Viruses immer gleich, was eine Erkennung für den Anwender um einiges erleichtert. Das Virus erhalten sie als eMail unter folgenden Merkmalen:
Betreff: ".Peace BeTweenAmeriCa And IsLam"
Mailtext: "Hi! iS iT A waR Against AmeriCa Or IsLam!
Let's Vote To Live in Peace!"
Attachment: "WTC.EXE" (Größe 55,808 bytes)
Erhalten Sie so ein Mail, löschen Sie es umgehend. Durch das blosse lesen des eMails entsteht in diesem Fall keine Gefahr. Wird das Attachment dennoch gestartet versucht das Virus jedoch sein Schadenspotential zu entfalten, daß recht “unangenehm” werden kann.
Allerdings bedarf es dazu eines Rechnerneustart´s, also eines Reboots; solange dieser NICHT durchgeführt wird, kann auch das Virus seine Schadensfunktion, alle Verzeichnisse aus dem Windows Folder zu löschen und alle HTM und HTML Dateien zu überschreiben.
Auch der Download eines eigenen Backdoor-Programm´s, eines Trojaners mit dessen Hilfe ein Angreifer in Folge Zugriff auf befallen Festplatten erlangt ist erst nach einem Reboot und funktionierenden Internetanbindung gegeben. (Es steht zu erwarten, daß die Seite über das Virus den Trojaner nachzuladen versucht, aber mittlerweile gesperrt wurde, was es dem Virus unmöglich macht noch weitere Dateien auf den befallenen Rechner nachzuladen)
Damit nicht genug, sucht das Virus gezielt nach vorhandenen Antiviren Programmen um diese löschen.
Ein Infektion durch das Virus erkennen Sie neben den Einträgen in der Outgoing-Box Ihres Outlook Mailprogramm´s auch dadurch, daß das Virus die Dateien
"WTC.EXE", "MixDaLaL.VBS" und "Zacker.VBS"
direkt ins Rootverzeichniss C:\ bzw. C:\Windows\System kopiert. Um beim Reboot (Neustart) verlässlich aktiviert zu werden, trägt sich das Virus in die Registry ein:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunNorton.Thar="C:\WINDOWS\SYSTEM\ZaCker.vbs"
Mit einem weiteren Registry Eintrag, manipuliert es die Startseite des Internet Exploreres um den Link us.f1.yahoofs.com/users/da36d538/bc/..... (Trojanerdatei) einzufügen. Über diesen Link der auf eine mittlerweile gesperrte Seite linkt hätte das Virus besagtes Trojaner Programm nachgeladen.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Start Page=us.f1.yahoofs.com/users/da36d538/bc/..... (Trojanerdatei)
Die ebenfalls vom Virus erzeugt MixDaLaL.VBS sucht nach allen HTM und HTML Dateien um diese mit der Nachricht
AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>>
ZaCkEr is So Sorry For You .
zu überschreiben und somit unbrauchbar zu machen. Beim nächsten Neustart der Maschine weißt die "ZACKER.VBS" Datei dies Autoexec.Bat Datei mit einem Kommando an die C: Festplatte zu löschen.
Tipp vom Virendoktor:
Wir empfehlen mit Nachdruck keine Attachments mit der Endung EXE zu starten, von denen nicht sicher gestellt ist, welche Aktionen sie tatsächlich auslösen. Stehen Sie JEDEM ausführbaren Dateianhang kritisch gegenüber! Löschen Sie Attachments im Zweifelsfall. Starten Sie keine Attachments ohne diese vorher auf Viren geprüft zu haben.
Aktivieren Sie wenn möglich einen eMail Filter, der Attachments, die Executables enthalten, abblockt bzw. in eigens dafür vorgesehene Quarantänebereiche stellt.
Ein Update Ihres Virenschutzprogammes ist empfehlenswert.
Entfernung:
Wird das Virus von Ihrem Virenschutzprogramm entdeckt, entfernen Sie alle Dateien mit dem Namen "WTC.EXE", "MixDaLaL.VBS" und "Zacker.VBS".
Entfernen Sie die vom Virus angelegten Registry-Einträge
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run und entfernen Sie den Eintrag
Norton.Thar="C:\WINDOWS\SYSTEM\ZaCker.vbs"
und
HKEY_CURRENT_USER\Software\Microsoft\ Internet Explorer\Main Start und entfernen Sie den Eintrag
valuePage=us.f1.yahoofs.com/users/da36d538/bc/.... (Trojanerdateiname)
Entfernen Sie den "echY | format C" Eintrag aus Ihrer Autoexec.bat Datei.
Gruss
L.M.
