686359

Loveletter.bd

Bezeichnung

VBS/Loveletter.bd

Typ

Wurm

Erstes Auftreten

15.08.2000

Verbreitung

selten

Wirkung/Schaden

Der auf "Loveletter" basierende Wurm tarnt sich als Bewerbungsschreiben und lädt, wenn er geöffnet wird, im Hintergrund ein Passwort-Spionageprogramm; das unter der Bezeichnung "DUNpws.bo" bekannt ist. Es späht die Passwörter auf dem befallenen Rechner aus und versendet sie an eine voreingestellte Emailadresse.

Infektionsweg

Der Wurm versteckt sich in Emails mit dem Betreff "contract". Dort befindet sich die Datei "resume.txt.vbs", die den Wurm enthält. Wird diese geöffnet, so zeigt sie im Texteditor tatsächlich ein scheinbares Bewerbungsschreiben an, das mit folgenden Zeilen beginnt:"Knowledge Engineer, ZürichIntelligente Agenten im Internet sammeln Informationen, erklären Sachverhalte im Customer Service, navigieren im Web, beantworten Email Anfragen oder verkaufen Produkte. Unsere Mandantin entwickelt und vermarktet solche Software-Bots:..." Währenddessen wird im Hintergrund von einem ftp-Server die Datei "hcheck.exe" heruntergeladen und gestartet. Sie enthält das Passwortspionageprogramm.

Besonderheiten

VBS/Loveletter.bd benötigt Windows Scripting Host, um zu laufen.

Was Sie tun können

Deaktivieren Sie Ihren Skripptinghost. Aktivieren Sie wenn möglich einen Dateifilter, der die Dateien, RESUME.TXT.VBS sowie hcheck.exe blockt. Loveletter.bd kann durch aktuelle Virensoftware behoben und entfernt werden.

Weitere Infos

Sophos

0 Kommentare zu diesem Artikel
686359