Die DEUTSCHEN Trojaner-Seiten
Home
VBS.Elva ein neuer "Loveletter" - Nachfolger mit vielen Funktionen


Seit der "Urversion" des VBS.Loveletter - Virus tauchen immer wieder "Sprösslinge" dieser "Virengattung" auf. News-Seiten kommen gegen die Flut dieser "Nachkommen" in ihrer Berichterstattung kaum noch nach.

VBS.Elva wartet jedoch mit einer "Funktionsvielfalt" auf, wie diese bisher nur selten anzutreffen gewesen ist.

Der VBS-Worm verbreitet sich per E-Mail unter dem Betreff ""Birthday Card" und enthält den englischen Text:

"Hello Jo. Happy birthday ELVA forever. This I made birthday card for you. Please open it and I hope you like."

Im Dateianhang der Mail ist die Datei "card.hta" vorzufinden. Öffnet der Anwender diese Datei nicht, so passiert auch nichts weiter bzw. werden keine Infektionen vorgenommen.

Wird der Anhang durch den Anwender jedoch geöffnet verschickt VBS.Elva sich als erstes selbstständig an alle im Outlook eingetragenen Mailadressen.
Danach nimmt der Worm seine eigentlichen lokalen Schadensroutinen vor, indem einige Einträge in der Registrierung verändert werden. Desweiteren kopiert VBS.Elva die Dateien "FS.VBE" und "CARD.HTA " in das Windows-Systemverzeichnis und legt eine Datei unter dem Namen "FS.COM" an. Danach "ruht" der Worm zunächst einmal und nichts weiter geschieht.

Am 24. eines Monats gibt der Worm eine Meldung auf dem Bildschirm des infizierten Systems aus: "-=Happy birthday=- I love ELVA 4 ever".
Ebenso wird die Internetadresse "http://www.jasonnet.cc/elva" zu den Favoriten des Browsers Internet Explorer hinzugefügt. Der Worm bettet sich in die globale Word-Vorlage "normal.dot" ein. Somit ist "gewährleistet", dass weitere Word-Dokumente infiziert werden. Als letzte Aktion an diesem Tag sucht VBS.Elva nach vorhandenen .VBS-Dateien auf allen Festplatten und überschreibt diese mit seinem eigenen Code.

Doch wer nun meint, der Worm hätte "seine Arbeit" komplett "erledigt", irrt sich:

Drei Tage später werden nochmals alle Festplatten durchsucht und alle Dateien mit den Endungen gif, jpg, mp3, vbs, vbe js, jse, wsh, wsf, und wsc. mit den eigenen Code von VBS.Elva überschrieben.

Das Überschreiben aller genannten Files (bzw. mit deren Endungen) hat die Zerstörung und somit Unbrauchbarkeit aller Dateien zur Folge.

Da eine grosse Anzahl verschiedener Dateitypen infiziert werden könne, kann die Identifizierung durch Virenscanner einige Probleme bereiten. Vor allem dann, sollte die AntiViren Software in seinen Grundeinstellungen genutzt werden.

Daher ist zu empfehlen, die Software dahingehend zu konfigurieren, dass alle Dateien gescannt werden. Viele Programme bieten auch die Möglichkeit an, bestimmte Dateiendungen hinzuzufügen, die nicht aufgeführt wurden.

Auch im Fall VBS.Elva sind wieder einmal Systeme betroffen, auf denen der Internet Explorer neuerer Version und das Mailprogramm Outlook benutzt werden. Eine weitere "Voraussetzung" für VBS.Elva ist die Existenz des Windows Scripting Hosts auf dem System.

Die effektivste Methode, derartige Viren auszusperren besteht darin, den WSH (Windows Scripting Host) zu deinstallieren. Dieses ist über die Windows-Option "Software" (unter "Arbeitsplatz") und entsprechender Auswahl im Menü möglich.

(tt) 22.08.2000