686469

VBS/Funny

Bezeichnung

VBS/Funny

Typ

Wurm

Erstes Auftreten

September 2000

Verbreitung

selten

Wirkung/Schaden

VBS/Funny enthält ein Trojanisches Pferd, der Onlinebanking-Daten ausspionieren und weiterleiten kann.

Infektionsweg

Die bisher in Deutschland aufgetretenen Exemplare scheinen von einer Mail-Adresse bei IBM zu stammen. Die Mail enthält keinen Text, lediglich folgenden Betreff sowie einen Anhang:Subject: Funny storyText: ./.Attachment: FUNNY_STORY.HTM.vbsJe nach Systemeinstellungen und verwendetem Mail-Programm wird die Endung .vbs nicht immer angezeigt. Wird die Datei ausgeführt, überschreibt das Script alle VBScript-Dateien im Windows-System-Verzeichnis mit dem eigenen Code. Danach durchsucht es die Registry nach folgendem Schlüssel.HKCU\SOFTWARE\UBS\UBSPIN\OPTIONS\DATAPATHHierbei soll es sich um den PIN-Code für das Online-Banking einer bestimmten Bank handeln. Anschließend startet im Browser eine Seite mit Witzen, um den Anhang zu rechtfertigen und die weiteren Aktivitäten zu verschleiern. Wird dieser Registry-Schlüssel nicht gefunden, verbreitet sich der Wurm mittels MS Outlook an alle Adressen im Adressbuch und löscht sich anschließend selbst.

Besonderheiten

Findet der Wurm hingegen den gesuchten Schlüssel, wird das Trojanische Pferd "Trojan.PSW.Hooker.24.e" ausgeführt, das sich als Service registriert und in der Registry als Kernel32.dll einträgt. Dieses Trojanische Pferd protokolliert Tastatureingaben und spioniert Passwörter sowie Systeminformationen aus. Diese Dateien werden einschließlich des PIN-Codes dann per Mail verschickt.Es existiert auch die Version VBS/Funny.B, die sich nur durch die Betreffszeile der Mail und den Titel des Anhanges von VBS/Funny unterscheidet. Sie lauten "When did you die?" (Berteff) und LIFE_ASSURANCE.HTM.vbs (Titel des Attachments)

Was Sie tun können

Deaktivieren Sie Windows Scripting Host oder ändern Sie die Dateizuweisungen für Dateien mit der Endung .vbe oder .vbs so, dass sie von anderen Programmen, z.B. Wordpad oder dem Editor geöffnet werden.Installieren Sie aktuelle Virensoftware und befolgen Sie die gängigen Sicherheitsmaßregeln.

Weitere Infos

Sophos

0 Kommentare zu diesem Artikel
686469