32952

Analyse des VBS/Loveletter.A

Analyse des VBS/Loveletter.A von Stefan Kurtzhals, Virus Help Munich:

(mit freundlicher Genehmigung zur Verfügung gestellt)

VBS/Loveletter ist ein VB-Script Makrovirus mit einer seit W97M/Melissa bekannten Verbreitungsmethode: der Virus verteilt sich selbst als Email-Attachment. Diese E-Mails haben den Betreff "ILOVEYOU" und enthalten die Textzeile:

"kindly check the attached LOVELETTER coming from me."

Als Attachment mit dem Namen "LOVE-LETTER-FOR-YOU.TXT.vbs" ist der eigentliche Virus angefügt. Einige Email-Programme zeigen die Dateiendung nicht an, daher wirkt das Attachment weniger verdächtig.

Wird das Attachment gestartet und damit der Virus, verändert VBS/Loveletter als erstes den Registryeintrag

"HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout"

Danach kopiert der Virus sich selbst in das Windows bzw. Windows\System-Verzeichnis mit den folgenden Dateinamen:

"MSKernel32.vbs"

"Win32DLL.vbs"

"LOVE-LETTER-FOR-YOU.TXT.vbs"

Die ersten beiden Dateien werden in der Registry in die "Run" und "RunServices"-Gruppen eintragen und somit beim Start von Windows ausgeführt.

Der Virus führt weitere Veränderung der Registry durch und sorgt dafür, daß der Internet Explorer die Datei "WIN-BUGSFIX.exe" von 4 möglichen URLs downloaded. War der Download erfolgreich, setzt der Virus die Startseite des Explorers auf About:Blank. Das Programm arbeitet aehnlich wie die bekannten Backdoors Netbus und Back Orifice. Es wird im WINDOWS\SYSTEM-Verzeichnis als "WinFAT32.exe" abgelegt und ermittelt ueber die Datei MPR.DLL Passwoerter und fragt weitere Informationen ueber das System ab (RAS-Verbindungen etc.).

Danach erzeugt der Virus eine HTML-Datei mit dem Namen

"LOVE-LETTER-FOR-YOU.HTM"

im Windows-Systemverzeichnis. Diese enthält den eigentlichen Virus und wird verwendet, um den Viruscode über den IRC-Client MIRC zu verbreiten.

Über die MAPI-Schnitstelle erzeugt der Virus mit dem Mailprogramm Microsoft Outlook Mails mit den genannten Betreff und Inhalt und

verschickt diese an alle Personen im Email-Adressbuch des Anwenders. Dabei führt der Virus einen Zähler in dem Registryeintrag:

"HKEY_CURRENT_USER\Software\Microsoft\WAB"

Zuletzt durchsucht der Virus sämtliche Laufwerke nach Dateien mit den Endungen:

VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, MP3, MP2, JPG und JPEG

Die Script-Dateien werden mit dem Viruscode komplett überschrieben, die JPG-Dateien werden gelöscht und eine gleichnamige Datei mit der zusätzlichen Endung .VBS erzeugt, die wiederum den Virus enthält (Bespiel: Bild.jpeg -undgt; Bild.jpeg.vbs). Zu den MP3-Dateien werden ebenfalls gleichnamige Dateien mit dem Virus als Inhalt erzeugt (z.B. Lied.mp3.vbs), die Originaldatei (Lied.mp3) wird mit dem HIDDEN-Dateiattribut versehen und ist somit mit den Standardeinstellungen des Explorers nicht mehr fuer den Anwender sichtbar.

Findet der Virus während der Suche die Dateien

"mirc32.exe" "mlink32.exe" "mirc.ini" oder "script.ini"

wird in diesem Verzeichnis eine neue Datei "script.ini" erzeugt oder diese Datei überschrieben. Diese Script enthält den Text

;mIRC Script"

"; Please dont edit this script... mIRC will corrupt, if mIRC will"

" corrupt... WINDOWS will affect and will not run correctly. thanks"

";" ";Khaled Mardam-Bey" ";http://ww.mirc.com"

Das Script verschickt die vom Virus erzeugte "LOVE-LETTER-FOR-YOU.HTM" an jede Person die den gleichen IRC-Channel betritt.

Im Virus sind die folgenden Textzeilen als Kommentar enthalten:

barok -loveletter(vbe)

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
32952