686329

Loveletter

Bezeichnung

VBS/Loveletter.a

Typ

Wurm

Erstes Auftreten

Mai 2000

Verbreitung

häufig

Wirkung/Schaden

Nach der Aktivierung ersetzt der Wurm alle Dateien mit den Endungen JPG und JPEG mit sich selbst und fügt ".VBS" an den Dateinamen an. Ebenso überschreibt er alle Dateien der TypenVBS, VBE, JS, JSE, CSS, WSH, SCT und HTAmit sich selber und ändert ihre Endungen zu ".VBS". Dateien mit der Endung MP3 oder MP2 werden versteckt, und Loveletter schreibt an ihre Stelle gleichnamige Dateien mit der Erweiterung ".VBS", die den Wurm selber enthalten.

Infektionsweg

Der Wurm erscheint in einer Mail mit dem Betreff "ILOVEYOU" und einem Attachment namens "LOVE-LETTER-FOR-YOU.TXT.vbs". Wird das Attachment geöffnet, aktiviert sich der Wurm. Er benutzt Windows Scripting Host. Beim ersten Start schreibt er Kopien von sich in folgende Dateien: WINDOWS\SYSTEM\MSKERNEL32.VBSWINDOWS\WIN32DLL.VBSWINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBSWINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.HTMDann fügt er folgende Registry-Einträge hinzu:HKLM\Software\Microsoft\Windows \CurrentVersion\Run\MSKernel32 = WINDOWS\SYSTEM\MSKernel32.vbsHKLM\Software\Microsoft\Windows \CurrentVersion\RunServices\Win32DLL = WINDOWS\Win32DLL.vbsDer Wurm erschafft dann eine Datei namens "LOVE-LETTER-FOR-YOU.HTM", die mittels mIRC über die IRC-Kanäle verbreitet wird. Etwas später wird Outlook verwendet, um Mails mit dem Loveletter-Wurm an alle Einträge im Adressbuch zu verschicken.

Besonderheiten

Der Wurm versucht ein Passwort-Spionageprogramm namens "WIN-BUGSFIX.EXE" herunter zu laden, wofür er die Startseite des Internet Explorer auf die betreffende Internetadresse setzt.Das Passwort-Spionageprogramm wird durch folgenden Eintrag in der Registry bei jedem Systemstart aktiviert:HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run\WIN-BUGSFIXAusgespähte Passworter werden an die Adresse MAILME@SUPER.NET.PH verschickt.

Was Sie tun können

Öffnen Sie keine Mailanhänge aus unbekannter Quelle oder mit zweifelhaften Betreff oder Titel. Verwenden Sie aktuelle Virensoftware, um Loveletter zu beseitigen.

Weitere Infos

McAfee

Sophos

0 Kommentare zu diesem Artikel
686329