Abonneer je gratis op Techzine!

Een nieuwe worm met de toepasselijke naam ‘Deletemusic’ verwijdert alle MP3-bestanden die hij op de harde schijf kan vinden. Vervolgens kopieert hij zich naar alle aangesloten stations, zoals USB-sticks en iPods.

Er zijn van verschillende anti-virusbedrijven meldingen van deze worm gekomen. Zo noemt Symantec de worm W32.Deletemusic, en McAfeeW32/Deletemp3.worm. De worm versprijdt zich door middel van aangesloten USB-apparatuur, die de letters E: tot en met O: bevatten. Gelukkig is dit de enige manier waarop de worm zich verspreid, dus de kans om geinfecteerd te worden is redelijk klein. Door een bestand op de verwisselbare schijf, autorun.inf, wordt de worm uitgevoerd zodra de schijf op een PC aangesloten wordt.

Op elke apparaat kopieert de worm zich als csrss.exe. Verder worden kopieën in de mappen C:Windowssystem32configcsrss.exe en C:Windowsmediaarena.exe geplaatst. Een ander bestand (C:WINDOWSsystem32ogon.bat) zorgt ervoor dat de worm bij het opstarten van windows geladen wordt. Hiervoor wordt het volgende in de registry geplaatst:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
"Worms" = "C:WINDOWSsystem32ogon.bat"

Windows NT en Windows 2000 gebruikers hoeven niet bang te zijn voor de worm, omdat de directory C:windows vastligt in de code. Deze twee besturingssystemen maken namelijk gebruik van de map WINNT.

Het doel van de worm is simpelweg het verwijderen van MP3 bestanden op de ge"nfecteerde PC en randapparatuur. Nieuw is het idee overigens niet, want de worm Klez-F uit 2002 doet hetzelfde. Wie zijn MP3-speler of USB-stick dus bij vrienden in de computer stopt, loopt een risico om besmet te worden. Dus even opletten de volgende keer!