Extra-Blatt

Virus/Wurm: W32/SouthPark (I-Worm.SouthPark)

Wieder einmal E-Mail-Wurm...

Ein E-Mail-Wurm erregt im Fahrwasser der Aufregung um VBS/Loveletter eine Aufmerksamkeit, die ihm sonst sicher nicht zu Teil würde. SouthPark ist in VisualBasic 5 geschrieben (nicht VBS) und sollte nicht mit PrettyPark verwechselt werden, obwohl er diesem weit ähnlicher ist als dem VBS/Loveletter. Er verbreitet sich per E-Mail:

Subject:    Servus Alter!
Message:    Hier ist das Spiel, das du unbedingt wolltest!;-)
Attachment: South Park.exe

Subject:    Hey Dude
Message:    Here is the game that you desperately wanted!;-)
Attachment: South Park.exe

Weiterhin wurden hier schon Ende April identische Attachments mit den Dateinamen Billy Shooter.exe und Fragen.exe gemeldet.

Die Datei enthält u.a. die Zeichenketten 'SUSI v1.3 made by Little Jim' und 'microsofttsucks'.
Der Wurm legt die Dateien southpark.exe, windowsstart.dll, windowssystem.dll (im System-Verzeichnis) und c:\winguard.exe an. Er trägt erstere in die Registry ein ('Run') und letztere in den AutoStart-Ordner, damit sie ab dem nächsten Windowsstart automatisch geladen werden. W32/SouthPark schaufelt solange Daten in die neu angelegte Datei swapfile.vxd, bis die Festplatte/Partition voll ist. Dann spätestens dürfte Windows abstürzen... Es werden keine Dateien gelöscht oder sonstige Schadensfunktion aktiviert, ausser: Er versendet sich an alle Adressen im Outlook-Adressbuch, benötigt jedoch Outlook nicht zum Versenden.

Dies ist kein Hoax.
Es besteht jedoch keinerlei Anlass, Warnungen vor diesem Wurm per E-Mail zu zirkulieren. W32/Southpark ist kaum verbreitet, vermutlich weitaus weniger als die Hoax-artigen Warnungen davor!

Einige Hersteller von Antivirussoftware haben bereits seit Donnerstag, dem 11.05.2000, Updates für ihre Software parat, inzwischen auch alle anderen.

Infos und Updates von Antivirus-Firmen:

• Trend Micro - ScanMail (dt.)
• NAi/McAfee (engl.)
• Data Fellows Europe - F-Secure (engl.)
• Symantec (engl.)