Die DEUTSCHEN Trojaner-Seiten
Home
W32/Parrot-A verhöhnt Virenforscher

Ein neuer Wurm/Virus, der auch schon in "freier Wildbahn" gesichtet wurde, ist hauptsächlich darauf aus einen Virenforscher zu verhöhnen.
W32/Parrot-A verschickt sich an alle Mailadressen aus dem Outlook Adressbuch. Die infizierten E-Mails tragen folgende Merkmale:

Betreff: Parrot screensaver
Mailtext: Hehe hey, look at this screensaver :)
Dateianhang: parrot.scr

Führt der Empfänger einer solchen E-Mail den Dateianhang aus, wird dieser wie oben beschrieben per E-Mail weiter übermittelt. Doch mittels eines angelegten mIRC - Scripts versucht der Wurm sich auch an andere Anwender des Chatclienten mIRC für den IRC weiterzuversenden. Aufgrund eines Fehlers soll dieses jedoch nicht möglich sein oder nur selten vom Erfolg gekröhnt sein.

Der Virenteil des Wurms benennt alle Dateien mit der Endung ".exe" im Windowsverzeichnis in die Endung ".prt" um. Dabei kopiert sich dieser selber zu den Originaldateien.

Eine durch den Virus abgelegte Audiodatei soll später dafür Sorge tragen, dass bei jedem Start des Virus diese ebenfalls abgespielt wird. Ausserdem wird ein Textfenster eingeblendet, welches einen Text anzeigt, der den Virenforscher Graham Cluley verpönt:

You better not fuck on the table Graham Cluley, you son of a bitch. I don't even know the lady and she calls me a son of a bitch !

Für den automatischen Start der Audiodatei und des Virus (bei Systemstart) sorgen diverse Änderungen in der Registry unter folgenden Pfaden:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

(tt) 01.08.2001