Categories: Sicherheit

Neuer Wurm löscht alten Virus

Die Virenexperten von Sophos haben eine Warnung vor einem neuen und sehr seltsamen Wurm ausgesprochen: W32/Sahay-A beziehungsweise VBS/Sahay-A kopiert sich als „MathMagic.scr“ in den Root-Ordner eines befallenen Rechners und versucht eine Variante des Virus W32/Yaha.k zu löschen, sollte dieser auf dem Computer vorhanden sein. Durch diese Prozedur startet der Computer neu.

Bei dem zu löschenden Yaha – auch bekannt als Lentin – handelt es sich um einen im Sommer vergangenen Jahres erstmals gesichteten Wurm, der sich per E-Mail verbreitet. Er wurde in Indien geschrieben, um mittels einer Denial of Service-Attacke gegen die pakistanische Regierung vorzugehen. Die Variante Yaha.k ist seit dem 21. Dezember bekannt. Die 34,304 Bytes große Datei bahnt sich als E-Mail-Attachment seinen Weg auf den Rechner des Opfers. Dabei schwirrt die E-Mail mit 46 unterschiedlichen Betreffzeilen und 52 Variationen des Anhangs durchs Web. Die Antivirus-Firma McAfee hat sämtliche Variationen auf seiner Site aufgelistet.

Der neue Virenwurm Sahay repliziert sich, indem er die temporäre Datei yahasux.vbs im Windows-Ordner erstellt und ausführt. Diese Datei sendet eine E-Mail an alle Einträge im Windows-Adressbuch.

Die E-Mail hat folgende Merkmale:

Attachment: MathMagic.scr

Betreffzeile: Fw: Sit back and be surprised..

Text:

„Think of a number between 1 and 52.
Say it out loud, and keep repeating while you read on.
Think of the name of someone you know (of the opposite sex).
Now count which place in the alphabet, the second letter of that name has.
Add that number to the number you were thinking of.
Say the number out loud 3 times.
Now count which place in the alphabet the first letter of your first name
has, and substract that number from the one you just had.
Say it out loud 3 times.
Now sit back, watch the attached slide show, and be surprised..“

Sobald Sahay eine Kopie des Wurms Yaha entdeckt, erscheine der folgende Text auf dem Bildschirm:

Hi there.. it seems you were infected with Yaha.k. That worm however, written by an idiot who sPeLlS lIkE tHiS,abused my website and got me to receive the complaints. Therefore, I have just disinfected you. Don’t worry tho.. as I didn’t wanna steal from you, I gave you this virus (Win32.HLLP.YahaSux) in return :).

ZDNet offeriert ein Viren-Center mit aktuellen Informationen rund um die Gefahr aus dem Cyberspace, eine umfassende Sammlung aktueller Antiviren-Software und einen kostenlosem Live-Viren-Check. Der Online Scanner durchforstet Dateien bis zu einer Größe von einem MByte nach diversen Schädlingen.

ZDNet.de Redaktion

Recent Posts

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

4 Stunden ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

18 Stunden ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

18 Stunden ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

1 Tag ago

Chrome 131 schließt zwölf Sicherheitslücken

Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…

1 Tag ago

DeepL Voice mit KI für Sprach- übersetzungen

DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.

2 Tagen ago