| | | VBS_Loveletter
Seit dem 04.05.2000 versetzt ein neuer VBS-Worm die Computerwelt mal wieder in Angst und Schrecken. Ebenso wurden schon eine extrem hohe Anzahl von Infektion gemeldet. Eine sehr gute Analyse von Herrn Ziemann aus dem Hoax-Info Newsletter 3/2000 (Die Genehmigung zur Veröffentlichung wurde mir erteilt) kann hier nachgelesen werden: VBS/Loveletter - Ein E-Mail-Wurm demonstriert, dass viele aus dem Melissa-Vorfall 1999 nichts gelernt haben.
Seit heute morgen flutet ein Script-Virus nach dem spaetestens seit Melissa hinreichend bekannten Prinzip die Mailserver in aller Welt. Die ersten Meldungen kamen aus Asien und mit dem Lauf der Sonne sind am europaeischen Nachmittag inzwischen auch die U.S.A. in heller Aufruhr.
Analyse
-------
VBS/Loveletter (der Name ist zwar noch nicht offiziell 'durch', aber darauf wird es wohl hinauslaufen) kommt in einer Mail mit dem Betreff 'ILOVEYOU' und enthaelt die Nachricht:
"kindly check the attached LOVELETTER coming from me."
Dieses Attachment (Dateianhang) besteht aus einer Datei namens "LOVE-LETTER-FOR-YOU.TXT.vbs"
Wird diese aufgerufen (das kann bei Outlook und Outlook Express auch ohne absichtliches Zutun des Benutzers passieren), wird unter bestimmten Voraussetzungen eine Kette von Aktionen in Gang gesetzt. Sind diese Voraussetzungen nicht erfuellt, passiert praktisch nichts.
Diese Voraussetzungen sind:
- Windows-Rechner mit installierten Windows Scripting Host (WSH)
WSH wird mit Windows 98 und 2000 ausgeliefert standardmaessig
installiert, Windows 95 und NT koennen nachtraeglich damit
ausgeruestet worden sein.
- eine halbwegs aktuelle Version des Internet Explorers ist
installiert (mind. v4.x, besser 5.x)
- der Benutzer hat Schreibrechte im Windows- und Windows/System-
Verzeichnis (ist bei Windows 95/98 nahezu unvermeidlich)
- keine Antivirus-Software, die das Virus erkennt (inzwischen sollten
bei den meisten der bekannteren Hersteler Updates verfuegbar sein)
Was passiert dann?
Bei der angehaengten Datei handelt es sich um ein VBS-Programm (Visual Basic Script), das vom WSH interpretiert und ausgefuehrt wird. Das Virus veraendert zuerst den Registry-Schluessel
HKEY_CURRENT_USER\Software\Microsoft\Windows ScriptingHost
\Settings\Timeout
Dann erzeugt es einige Dateien und Registry-Eintraege und laedt ueber das Internet mind. eine weitere Datei herunter, wofuer es den Internet Explorer benutzt.
Es finden sich schliesslich folgende Dateien:
Im Windows-Verzeichnis:
Win32DLL.vbs
im Windows\System Verzeichnis:
MSKernel32.vbs
LOVE-LETTER-FOR-YOU.TXT.vbs
im Internet Download Verzeichnis:
WinFAT32.EXE
WIN-BUGSFIX.EXE (diese wird aus dem Web geladen)
Dateien mit den folgenden Erweiterungen werden mit dem Virus-Code ueberschrieben: vbs, vbe, js, jse, css, wsh, sct, hta.
Dateien mit den Endungen jpg, jpeg, mp2 und mp3 werden geloescht und mit dem Virus-Code ueberschrieben, wobei der neue Dateiname sich durch ein angehaengtes '.vbs' von dem alten unterscheidet.
So wird aus meinfoto.jpg dadurch meinfoto.jpg.vbs, wobei es sich nunmehr auch tatsaechlich um eine VBS-Datei handelt und nicht mehr um ein JPEG-Bild. Die Bild- und Ton-Daten aus den genannten Dateien sind praktisch nicht wieder herstellbar, wenn keine Backups existieren.
Das Virus traegt die Dateien Win32DLL.vbs und MSKernel32.vbs in die 'Run' und 'RunService' Schluessel der Registry ein, sodass diese beim Windowsstart geladen werden.
Findet das Virus-Script auch noch die Programmdateien der Chatsoftware mIRC, legt es in demselben Verzeichnis eine Datei script.ini an bzw. ueberschreibt die vorhandene. Bei bestehender Online-Verbindung uebertragt sich das Virus auf diesem Wege an alle IRC-User, die in einem bestimmten Channel sind.
Schliesslich -- und das verursacht die meisten Probleme, gelinge gesagt -- versendet es sich mit oben stehender Mail an alle Adressen im E-Mail-Adressbuch von Outlook. Durch den dabei entstehenden Traffic sind bereits eine Reihe von Mailsystemen praktisch zusammengebrochen.
Wie soll ich mich verhalten?
Oeffnen Sie keine Mails mit dem o.g. Betreff, fuehren Sie vor allem nicht die angehaengte Datei aus. Loeschen Sie diese Mails. Wenn Sie sicher sind, dass auf Ihrem Rechner die oben genannten Voraussetzungen nicht vorliegen, lehnen Sie sich zurueck und entspannen Sie sich.
Haben Sie das Attachment aufgerufen und der Schaden ist eingetreten, entfernen Sie mit regedit die Registry-Eintraege in den 'Run' und 'RunService' Schluesseln und loeschen Sie danach alle o.g. Dateien. Lassen sich einige davon nicht loeschen, weil sie in Benutzung sind, starten Sie den Rechner neu und booten Sie DOS. Unter DOS koennen Sie auch die restlichen Dateien loeschen. Benutzer von NT und Windows 2000 haben diese Moeglichkeit allerdings meist nicht. Dieser Text wurde unter freundlicher Genehmigung des Autors aus dem Hoax-Info-Newsletter Nr. 3/2000 von Herrn Ziemann wortgerecht übernommen. Herr Ziemann hat es sich zur Hauptaufgabe auf seinen Webseiten gemacht, über die Thematik "Hoax" den Anwender zu informieren. Jedoch sind auch nützliche Informationen zu anderen verwandten Themen wie z.B. Viren, Trojaner usw. auf Herrn Ziemanns Seiten zu finden. http://www.tu-berlin.de/www/software/hoax.shtml Alle Anwender werden dringend gebeten, ihre Antiviren-Software zu aktualisieren. Inzwischen dürften alle Firmen entsprechende Updates bereithalten. Wie der jeweilige Virenscanner zu aktualisieren ist, kann aus den jeweiligen Hilfetexten entnommen werden. Die Firma Trend Micro bietet einen "Cleaner" (zur Entfernung - kill_vbs.exe) und ausserdem "Scanner" für den o.g. Worm unter Firmen-Webseite an: http://www.trendmicro.de/virinfo/akut.html Das Softwarehaus G-Data bietet eine komplette Testversion der Software "Anti Viren Kit 9" an, die ebenfalls bereits die entsprechende Virendefinition beinhaltet: http://www.g-data.de | | | |
