Seit kurzer Zeit befindet sich eine neue weitaus gefährlichere Variante des VBS_Loveletter Worms im Umlauf.
Da dieser Worm ebenfalls die Dateiendung ".vbs" beinhaltet, handelt es sich auch in diesem vorliegenden Fall um ein Visual Basic Script (daher die Endung/Abkürzung "VBS").
VBS/Newlove.A verschickt sich ebenfalls selbstständig an alle eingetragenden Mailadressen aus dem Adressbuch des Mailprogrammes Outlook, sollte die angehängte Datei durch den Empfänger geöffnet worden sein. Im Gegensatz zu seinen Vorgängern, werden jedoch die Betreffzeilen ständig geändert. Die Texte für die Betreffzeilen entnimmt der Worm aus dem Outlook Verzeichnis eingehender Mails (In-Box).
Empfänger dieser Mails erhalten somit diese von einem Bekannten, Freund, Geschäftspartner o.ä., unter Umständen sogar mit einem passenden Betreff aus einem vergangenden Mailverkehr mit der Person des Absenders. Somit könnten selbst vorsichtige Anwender getäuscht werden, da man sich entweder an die Person oder sogar dem Betreff erinnert.
Desweiteren ist VBS/NEWLOVE.A polymorph und verändert seinen Code bei jeder Infektion dahingehend, indem zufällige Codeteile hinzugefügt werden. Diese Funktion soll den "Sinn" ergeben, durch Virenscanner nicht entdeckt zu werden. Je öfter genau diese Datei durch Anwender aktiviert wird, desto grösser wird auch die angehängte Datei bei der Weiterverbreitung, da immer mehr Code automatisch hinzugefügt wird. Laut einer Softwarefirma wurden bereits VBS/NEWLOVE.A - Dateien gesichtet, die ein Grösse von 400 KB aufweisen konnten. Diese Tatsache führt auch unweigerlich dazu, Mailsysteme und Mailboxen zu verstopfen.
Die Schadensroutine auf dem lokalen System ist jedoch auch weitaus fataler als bei den meissten bisherigen Varianten. Der Worm durchsucht alle Verzeichnisse und überschreibt diese mit Files von 0 Byte Länge.
Da hierbei auch Dateien aus dem Windows-Verzeichnissen betroffen sind, kann das gesamte System nicht mehr neu gestartet werden. Nur Anwender, die auch über gut gepflegte BackUps der Systemdateien verfügen, wird es gelingen, Windows zu einem erneuten Start zu bewegen.
Wie bereits mehrmalig auf trojaner-info.de erwähnt, genügt es nicht, anhand eines Absenders den angehängten Dateien zu vertrauen und diese dann arglos zu öffnen.
Generell sollte der Austausch von Dateien per E-Mail immer vorher abgesprochen werden. Dieser Weg ist sicherlich umständlich und mühseelig, erspart dem Anwender jedoch im "Fall der Fälle" sehr viel Zeit und erheblich Kosten.
Entsprechende Updates aller Softwarefirmen für Anti Viren Programme sind entweder zu diesem Zeitpunkt bereits verfügbar bzw. werden in Kürze folgen. Am Besten man informiert sich bei dem jeweiligen Support der Firma, sollte auf den entsprechenden Webseiten nichts ersichtlich sein.
