Email-Worm.HTML.Jer

Technische Details

Dies ist ein Internet-Wurm, der sich über IRC-Kanäle verbreitet und auch beabsichtigt, sich über E-Mail zu verbreiten, aber aufgrund von Fehlern in seinem Code versagt.

Installation

Der Wurm wurde vom Autor auf einer Seite auf www.geocities.com platziert. Die Seite hat den Titel:

"<< DIE 40 WEGE FRAUEN IM BETT".

Am 2. Juli 2000 wurde die Information über diese Seite den IRC-Kanälen bekannt gegeben und es gab mehr als 1000 Treffer auf dieser Seite für den ersten Tag. Glücklicherweise hatte der Wurm einen Fehler in seiner E-Mail-Infektionsroutine und er verbreitete sich nicht zu weit.

Der "Jer" -Wurm benutzt eine primitive, aber sehr effektive Art, Computer zu durchdringen. Eine Website enthält ein Skriptprogramm (den Wurm selbst), das automatisch ausgeführt wird, nachdem ein Benutzer eine infizierte HTML-Seite geöffnet hat. Dann erhält ein Benutzer eine Warnung vom System, ob er dieses unbekannte Skript akzeptiert oder nicht. Diese Methode nutzt sogenannte "Mind Breaches": Um diese lästige Nachricht zu vermeiden, wird ein Benutzer mit "Ja" antworten. Gleich nach diesem Moment wird der Wurm an den Computer weitergegeben.

Die infizierte HTML-Seite enthält das VBS-Skript in seinem Hauptteil. Beim Öffnen dieser Seite wird das Skript automatisch ausgeführt und der Wurm erhält die Kontrolle. Es erstellt eine Kopie der infizierten HTML-Seite im Windows-Systemverzeichnis mit dem Namen JER.HTM und registriert sie in der Systemregistrierung im Autostart-Bereich:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunGinSenG = "JER.HTM"

Daher wird der Wurm bei jedem Windows-Start automatisch ausgeführt.

Verbreitung

Der Wurm wechselt dann in das Verzeichnis C: MIRC und erstellt (falls ein solches Verzeichnis existiert) eine Datei "SCRIPT.INI", die die Befehle für den mIRC-Client enthält. Der Wurm schreibt in diese Datei eine Reihe von Befehlen, um eine infizierte JER.HTM-Datei an jeden Computer zu senden, der sich mit demselben Kanal wie der infizierte Computer verbindet. Darüber hinaus bietet dieses Skript dem IRC-Benutzer, der ein bestimmtes Skriptschlüsselwort eingegeben hat, Zugriff auf die lokale Festplatte des infizierten Computers.

Nutzlast

Der Wurm macht weitere Änderungen in der Systemregistrierung:

• Deaktiviert den Desktop
• Deaktiviert das Dialogfeld "Suchen"
• Deaktiviert das Dialogfeld Netzwerkeigenschaften
• Entfernt "Herunterfahren" aus dem "Start" -Menü

Der Wurm ändert auch die Windows-Registrierungsinformationen:

Besitzer: Ich liebe dich, min
Organisation: GinsengBoy- 2000

Entfernung

Um die Systemeinstellungen wiederherzustellen, müssen die ursprünglichen Registrierungswerte wiederhergestellt werden.

Hinweis: Es wird empfohlen, dass nur erfahrene Benutzer die Registrierungsschlüssel mithilfe des Registrierungs-Editors beheben. Ein falscher Zugriff kann schwerwiegende Probleme verursachen, die eine Neuinstallation von Windows erforderlich machen. Weitere Informationen zum Bearbeiten der Registrierung finden Sie im Online-Hilfethema Ändern von Schlüsseln und Werten im Registrierungs-Editor (REGEDIT.EXE).

Die folgenden Schlüssel müssen aus der Registrierung entfernt werden:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunGinSenG

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDesktop

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoFind

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetworkNoNetSetup

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoClose

Die folgenden Schlüssel müssen in die richtigen Werte geändert werden:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionVersion – Windows-Version (z. B. "Windows 98").

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRegisteredOwner – Benutzername (Windows registriert in)

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRegisteredOrganization – Name der Organisation (Windows registriert in)