686749

VBS/777-B

Typ

Wurm

Erstes Auftreten

Oktober 2000

Verbreitung

selten

Wirkung/Schaden

Beim ersten Start schreibt er zwei Kopien von sich auf die Festplatte, die bei jedem Neustart ausgeführt werden. Er sucht nach der Datei WinFAT32.exe im Internet Explorer Download-Verzeichnis. Wird diese nicht gefunden, so setzt er die Startseite des IE auf eine von 4 Webadressen, die eine Datei WIN-BUGSFIX.exe enthalten. Er lädt diese herunter, aktiviert sie und ändert die Windows-Registry, so dass sie bei jedem Neustart wieder ausgeführt wird. Sie enthält ein Passwort-Spionageprogramm. Es speichert sich im Internet Explorer Download-Verzeichnis als WinFAT32.exe ab. Nach der Aktivierung ersetzt der Wurm alle Dateien mit den Endungen JPG und JPEG mit sich selbst und fügt ".VBS" an den Dateinamen an. Ebenso überschreibt er alle Dateien der Typen VBS, VBE, JS, JSE, CSS, WSH, SCT und HTA mit sich selber und ändert ihre Endungen zu ".VBS". Dateien mit der Endung MP3 oder MP2 werden versteckt, und VBS/777-B schreibt an ihre Stelle gleichnamige Dateien mit der Erweiterung ".VBS", die den Wurm selber enthalten. Der Wurm erschafft dann eine HTM-Datei die mittels mIRC über die IRC-Kanäle verbreitet wird. Etwas später wird Outlook verwendet, um Mails mit dem VBS/777-B-Wurm an alle Einträge im Adressbuch zu verschicken Infektionsweg VBS/777-B erreicht seine Opfer in einer Mail mit dem Anhang "I HATE YOU", dessen Attachment einen Clon des Loveletter-Codes enthält. Der Text der Mail ist "kindly check the attached GOODBYE NEWSGROUPS coming from me.", der Anhang trägt den Titel " MY-FAREWELL-2-NEWSGROUPS.TXT.VBS". Die Erweiterung VBS wird von manchen Mailprogrammen nicht angezeigt, so dass der schädliche Code für eine harmlose Textdatei gehalten werden kann. Wird der Anhang geöffnet und ist der Windows Scripting Host auf dem betreffenden Rechner aktiv, findet eine Infektion mit dem Wurm statt. Auch eine infektion über IRC ist möglich. Was Sie tun können Aktuelle Antivirensoftware erkennt den Wurm und hilft bei seiner Beseitigung. Siehe auch url link http://vil.nai.com/vil/virusSummary.asp?virus_k=10058 McAfee _blank Weitere Infos url link http://www.sophos.de/virusinfo/analyses/vbs777b.html Sophos _blank

0 Kommentare zu diesem Artikel
686749