Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datensicherheit, informiert Anwender über die Entdeckung des neuen Internet-Wurms 'Redesi', der sich als ein Update für Microsoft-Produkte tarnt und sich via eMail verbreitet.

Bisher sind zwei Wurm-Varianten entdeckt worden, die sich nur durch Betreff- und Body-Text der verseuchten eMails unterscheiden.

Erscheinug der Variante Redesi.a

FW: Microsoft security update. FW: Security Update by Microsoft. FW: IT departments on state of HIGH ALERT. FW: Important news from Microsoft. FW: Stop terrorists computer viruses reign. FW: Terrorists release computer virus. FW: Emergency response from Microsoft Corp. FW: Terrorist Emergency. Latest virus can wipe disk in minutes. FW: Microsoft Update. Final Release Candidate. FW: New computer virus.

Der Body von Redesi.a sieht folgendermaßen aus:

Just recieved this in my email
I have contacted Microsoft and they say it's real !

-----Original Message-----
From: Microsoft Support Desk [mailto:Support@microsoft.com]
Sent: 17 October 2001 15:21
Subject: Security Update

Erscheinug der Variante Redesi.b

Der Betreff von Redesi.b wird aus der gleichen Liste ausgewählt wie der Betreff von Redesi.a:

Kev Gives great orgasms to ladeez!! -- Kev
hell is coming for u, u will be sucked into a bottomless pit!!! -- Gaz
Scientists have found traces of the HIV virus in cows milk...here is the proof -- Will
Yay. I caught a fish -- Six
I don't want to write anything but Si is bullying me. -- Jim
I want to live in a wooden house -- Arwel
Michelle still owes me ã10 ... shit ! -- Si
Why have I only got cheese and onion crisps? I hate them !! -- Si
A new type of Lager / Weed variant...... sorted !
My dad not caring about my exam results -- by Michelle

Der Body von Redesi.b hat folgendes Aussehen:

heh. I tell ya this is nuts ! You gotta check it out !

Der Name der angehängten Datei wird für beide Redesi Varianten aus der Liste willkürlich ausgewählt:

Si.exe
ReDe.exe
Disk.exe
Common.exe
UserConf.exe

Verbreitung der Redesi Varianten

Beim Starten der angehängten infizierten Datei dringt der Internet-Wurm in den Computer ein, bekommt den Zugriff auf Microsoft Outlook und versendet seine Kopien mit Hilfe dieses Mail-Programms an alle im Adressbuch verzeichneten Empfänger.

Zeitgesteuerte Verwüstung

Am 11. November 2001 aktiviert der Wurm seine destruktive Funktion und löscht alle Daten auf den C-Laufwerken infizierter Computer. Dazu fügt er in die Datei AUTOEXEC.BAT den Befehl ein, die Festplatte zu formatieren, der beim Neustart des Computers automatisch ausgeführt wird. Es sollte darauf hingewiesen werden, dass die destruktive Funktion nur aktiv wird, wenn auf dem infizierten Computer die Kurzform des Datums in den Formaten "dd/mm/yy" oder "mm/dd/yy" eingestellt ist.

Die Schutzmaßnahmen gegen 'Redesi' wurden den aktuellen Updates von Kaspersky Anti-Virus bereits hinzugefügt.

Eine nähere Beschreibung von 'Redesi' finden Sie im Kaspersky Viren-Lexikon.