IRC-Worm.MSWord.Anumps

Technische Details

Dieser Wurm verbreitet sich über IRC-Kanäle und infiziert MS Word-Dokumente. Der Virus selbst ist ein Word-Dokument, das ein Makro namens Mumps enthält.

Installation

Wenn geöffnet, wird die Datei:

• Versuchen Sie, das Menü Sicherheit im Menü Makro zu deaktivieren
• Deaktivieren Sie das Verbot der Aktivierung von Makros in der Windows-Systemregistrierung
• Erstellen Sie eine Datei namens Mumps.drv in C: Windows-Verzeichnis und schreibt den Code des Makros in diese Datei. Diese Datei wird dann verwendet, um alle geöffneten Word-Dokumente zu infizieren
• Speichern Sie das aktive Dokument unter den folgenden Namen auf der Festplatte:

 C: WindowsFAQ.doc C: ProgrammdateienMicrosoft OfficeOfficeSTARTUPMumps.dot 

• beginnt die Verbreitung über IRC.

Verbreitung über IRC

Der Wurm ändert eine Datei namens script.ini. Dies bedeutet, dass die Datei C: WindowsFAQ.doc automatisch an alle Benutzer des Kanals gesendet wird, der von dem infizierten Computer verwendet wird.

Anzeichen einer Infektion

Wenn der Benutzer versucht, das HelpAbout-Menü zu öffnen, ändert der Wurm die Hintergrundfarbe des Dokuments in dunkelblau. Buchstaben erscheinen in weiß. Es öffnet auch notepad.exe mit dem folgenden Text:

 "Windows hat wenig Speicher Ressourcen. Bitte starten Sie Ihr Windows ....." 

Wenn der Benutzer versucht, das aktuelle Dokument zu drucken und die Systemuhr 59 Sekunden anzeigt, wird eine Nachrichtenbox mit folgendem Text angezeigt:

 "Ihr Druckertreiber ist nicht mit Windows kompatibel. Bitte installieren Sie einen anderen Druckertreiber." 

Wenn der Benutzer versucht, den Code der Makros anzuzeigen oder das ToolsMacro-Menü zu öffnen, wird ein Meldungsfeld mit dem folgenden Text angezeigt:

 "Mit dieser Funktion gibt es ein Problem ..." 

Andere

Der Wurm versucht, C: WindowsFAQ.doc in der Systemregistrierung als Standard-Signatur für Microsoft Outlook 5.0 zu registrieren. Die Datei wird dann automatisch allen ausgehenden Nachrichten hinzugefügt.