Die DEUTSCHEN Trojaner-Seiten
Home
VBS."Neue Tarife" Update


Im Laufe des Tages (16.02.2001) konnte geklärt werden, woher der Virus stammt. Ein Hacker hatte sich unrechtmässig Zugang zu dem FTP-Server der Antiviren-Seite "virus.at" verschafft. Der Hacker stellte einen File auf den Server, der die Mailingliste (für den Newsletter von virus.at) ansprach. Nach mehreren Versuchen gelang dem Hacker die verseuchten E-Mails an 1.356 zu versenden. Somit kam die Lawine ins Rollen.

Somit ist die Aussage einiger Newsseiten richtig, dass der Worm ursprünglich aus Österreich stammt. Doch sei angemerkt, dass die Betreiber der Webseiten "virus.at" keinen Einfluss auf die Sicherheit des Webservers haben, da die Domainpflege eine Hoster aus Wien übernimmt. Die Webmaster der Antiviren-Seite reagierten selbstverständlich sofort mit einer entsprechenden Warnmail über ihre Newsletterliste.

Der Worm wurde zwischenzeitlich durch Virenexperten namenhafter Softwarefirmen analysiert. Wie es scheint, tritt der Worm in verschiedenen Variationen (Text- und HTML-Mail) auf und trägt nun den offiziellen Namen "VBS/VBSWG.k@MM". - Schwierig zu merken ! :)

Doch tauchen auch andere Namen für den Virus auf, da sich diesbezüglich die AV-Firmen oft nicht ganz einig sind: VBS/NeueTarife, VBS_Kalamar.A und I-Worm.Lee.o .

"VBS/VBSWG.k@MM" sollte jedoch eigentlich dazu dienen durch jeden infizierten Rechner auch eine Protestmail an T-Online zu schicken. Dieses funktionierte jedoch offenbar nicht. Das Motiv liegt somit eindeutig auf der Hand. Ein User (offenbar ein T-Online Kunde, da der virus.at - Server über eine T-Online IP gehackt wurde) wollte einen "Racheakt" gegen die Abschaffung der Flatrate protestieren. Der eigentlich Text an T-Online sollte wie folgt lauten:

Ihr werdet keine ruhige Minute mehr haben, wenn die Flatrate nicht bald wieder auftaucht".

Als Betreff war der Satz: "Gebt uns unsere Flatrate wieder" vorgesehen. Doch auch das funktionierte nicht, da der Betreff ohnehin in den meissten Fällen leergeblieben ist.

Ich denke, dieser Satz sagt alles aus. Stellt sich lediglich die Frage, wie lange der Verursacher noch seine ruhigen Minuten zählen darf. Die Ermittlungen laufen laut virus.at bereits auf Hochtouren.

Wie bereits berichtet, wurde der Worm mittels eines Virus Construction Kit erzeugt. Diese sogenannten Construction Kits ermöglichen auch Anwendern ohne Programmierwissen einen recht einfachen (aber durchaus impulsiven) Virus bzw. Worm zu erzeugen. Einige AV-Softwarefirmen melden bereits, dass alle Virenvariationen identifiziert werden können, die das besagte Construction Kit erzeugen kann. Andere Firmen werden sicherlich in Kürze nachziehen. Denn es ist durchaus eine riesige Anzahl von weiteren Varianten von "VBS.SST" (Kournikova-Virus) und "VBS/VBSWG.k@MM" zu erwarten, die auch in den Umlauf gesetzt werden könnten.

(tt) 17.02.2001