Wurm versucht die Festplatte zu überschreiben

Erneut pflanzt sich ein Virus von Outlook zu Outlook fort. Prinzipiell alle Anti-Virenexperten haben vor einem neuen Erreger namens „Gigger“ beziehungsweise JS/Gigger-A gewarnt, der sich als Update-Information durch Microsoft (Börse Frankfurt: MSF) tarnt. Unter anderem Sophos berichtet von dem Java Script-Virus, der als E-Mail mit einem der folgenden Merkmalskombinationen erscheint:

Betreffzeile: Outlook Express Update
Text: MSNSofware Co.
Attachment: Mmsn_offline.htm

oder

Betreffzeile: recipient@Address, z.B. die E-Mail-Adresse des Empfängers
Text: Microsoft Outlook 98.
Attachment: Mmsn_offline.htm

Wenn der Virus ausgeführt wird, versucht er, folgende Dateien abzulegen:

C:Bla.hta
C:B.htm
C:WindowsSamplesWshCharts.js
C:WindowsSamplesWshCharts.vbs
C:WindowsHelpMmsn_offline.htm

Er erstellt zudem Dateien namens Script.ini in Ordnern, die eine Datei mit der Erweiterung „.ini“ oder „.hlp“ enthalten. Der Virus infiziert HTM-, HTML- und ASP-Dateien und versucht, die Zeile

Echo y|format c:

zu C:Autoexec.bat hinzuzufügen. Dadurch werde versucht, bei Versionen von Windows, die das Zeichen Y für Yes verwenden, Laufwerk C: beim Neustart zu formatieren.

JS/Gigger-A erstelle folgende Registrierungsschlüssel:

HKCUSoftwareMicrosoftWindows Scripting HostSettingsTimeout

HKCUSoftwareTheGravebadUsersv2.0

und fügt den Wert ‚NAV DefAlert‘ zu dem Registrierungsschlüssel

HKLMSoftwareMicrosoftWindowsCurrentVersionRun hinzu.

Der Virus enthält den Text „This virus is donation from all Bulgarians“.

Kontakt:
Network Associates, Tel.: 089/37070 (günstigsten Tarif anzeigen)

Kaspersky, Tel.: 007095/7978700 (günstigsten Tarif anzeigen)
Sophos, Tel.: 06136/91193 (günstigsten Tarif anzeigen)
Symantec, Tel.: 02102/74530 (günstigsten Tarif anzeigen)
Trend Micro, Tel.: 089/37479700 (günstigsten Tarif anzeigen)