Thema: Schädling löscht MP3-Dateien

[SiLæncer]

Ein jüngst von mehreren Antivirenherstellern entdeckter Schädling versucht, alle MP3-Dateien auf dem Rechner zu löschen. Der W32/Deletemp3.worm (McAfee), W32.Deletemusic (Symantec) oder Win32/AutoRun genannte Wurm wandelt damit auf den Spuren von W32/Napir-B, der Mitte 2005 für Schlagzeilen sorgte.

Nach der Infektion des Systems verankert sich der in Delphi programmierte Deletemp3 in den Windows-Autostarts, um nach einem Neustart des Rechners wieder aktiv zu werden. Aufgrund von fest einprogrammierten Programmpfaden soll der Wurm jedoch unter Windows 2000 nicht korrekt laufen, merkt McAfee in seiner Schädlingsbeschreibung an. Weiterhin deaktiviert der Schädling den Taskmanager und das Kontextmenü von Verzeichnissen im Windows Explorer. Schließlich versucht Deletemp3, alle MP3-Dateien zu löschen, die es auf dem infizierten Rechner findet.

Um sich weiter zu verbreiten, legt Deletemp3 außerdem auf allen Laufwerken von E: bis O: die Dateien autorun.inf und csrss.exe an. Durch die Autorun-Funktion bei Wechselmedien wird der Schädling so etwa beim Einstecken eines befallenen USB-Sticks an einen Windows-Rechner ausgeführt. Die Verbreitung des Schädlings ist bislang gering. Mehrere Antivirenhersteller liefern aber bereits Signaturen dafür aus.

Trotzdem sollten Anwender Vorsicht walten lassen, wenn sie USB-Sticks und andere Wechselmedien an den Rechner anstöpseln oder in das Laufwerk schieben und gegebenenfalls die Autorun-Funktion deaktivieren, indem sie dabei beispielsweise für einige Sekunden lang die SHIFT-Taste gedrückt halten. Außerdem sollten Anwender regelmäßig Backups ihrer wichtigen Daten erstellen, indem sie sie etwa auf DVDs wegbrennen oder automatisierte Backup-Tools einsetzen.

Siehe dazu auch:

    * W32/Deletemp3.worm, Schädlingsbeschreibung von McAfee -> http://vil.nai.com/vil/content/v_142869.htm

Quelle : www.heise.de

[Jürgen]

Autorun für Daten-Laufwerke lässt sich seit Win9x systemweit per TweakUI abstellen, ohne dass das Audio-CDs oder Video-DVDs betrifft.

Praktisch kenne ich das Thema spätestens seit einer recht frühen AOL-CD, die allein durch's Einlegen schon eigenmächtig und verdeckt Systemeinstellungen veränderte.
Komplett irrsinnig wurde es dann durch MSO 2k, dessen (erste) CD bei jedem Autorun den vorherigen Installations-Quellpfad verbiegen will, auch wenn man den Installer sofort abbricht.
Und das ist nicht eben hilfreich, wenn man einige Funktionen auf 'vom Netzwerk starten' gestellt hat oder Slipstreaming für die zahlreichen Patches zu nutzen bemüht ist.

Als ich dieses Verhalten selbst von Orignal-MS-Soft erstmalig bemerkt habe, ist mir endgültig der Kragen geplatzt, auf jedem von mir eingerichteten Rechner seitdem Autorun für Daten-Medien abgestellt.

Und ansonsten sollte sowieso klar sein, allein die Arbeit, die in einer kompletten Rechner-Konfiguration und den ganzen gesammelten Daten steckt, rechtfertigt jedenfalls konsequente und systematische externe Datensicherungen. Bei wichtigen Dingen auch auf einmal-beschreibbaren und fixierten Trägern...
Kontrolle und Wiederherstellung von selbstgebrannten Disks sollte tunlichst auf Read-Only-Laufwerken geschehen, oder auch stets von einem anderen Betriebssystem aus.


Immerhin, fast schon wieder erfreulich erscheint mir, dass wohl doch noch nicht alle Malware-Schreiber nur an Geldschneiderei, Betrug und Erpressung interessiert sind...