Nun werden wir mal ganz genau:
ILOVEYOU-VB-Script-Virus hat sich am Morgen des 4.5.mit rasanter Geschwindigkeit ausgebreitet (E-MAIL-Anhang oder IRC).
ILOVEYOU ist ein Visual-Basic-Script-Wurm, der sich als E-MAIL-Kettenbrief ausbreitet.
Schützen Sie sich vor VBScript-Viren, indem Sie die Windows-Scrip-Verarbeitung deaktivieren.
VARIANTE: LoveLetter.A
Der Wurm nutzt das E-MAIL-Programm Outlook, um sich zu verbreiten.
Er überschreibt als VBS-Programm Dateien und vermehrt sich über mIRC. Der Wurm aktiviert sich nach seinem Aufruf, indem er eine Datei
MSKernel32.vbs und
LOVE-LETTER-FOR-YOU.TXT.vbs im Windows-System-Verzeichnis und Win32DLL.vbs im WINDOWS-Verzeichnis erstellt. Anschließend manipuliert er die Registry-Einträge, so dass Win32DLL.vbs und MSKernel32.vbs bei jedem Windows-Start aufgerufen werden.
Registry-Manipulation:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32 HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL
Der Wurm verändert die Startup-Seite des Internet-Explorers (durch Änderung der Registry) und beim Start des Browsers lädt er eine Datei namens WIN-BUGSFIX.exe von 4 verschiedenen Orten auf http://www.skyinet.net herunter (per Zufallsprinzip). Diese Programm stiehlt Passwörter (Trojaner).
Beim Start sucht er ein verstecktes Fenster namens 'BAROK...'. Wird dieses gefunden, beendet er sich sofort. Falls nicht, übernimmt das Hauptprogramm die Kontrolle. Der Trojaner untersucht den Subkey WinFAT32 in folgendem Eintrag:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Findet er den Subkey-Eintrag dort nicht, erstellt er ihn dort, kopiert sich selbst ins \Windows\System\-Verzeichnis als WINFAT32.EXE und startet dieses Programm von dort aus. Die Veränderung in der Registry bewirkt, dass der Trojaner immer, wenn Windows gestartet wird, aktiv ist. Anschließend setzt der Wurm die Startup-Seite des Internet-Explorers auf "about:blank" und löscht folgende Einträge (falls vorhanden):
Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds
Software\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching
.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds
.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching
Sofort nach dem Start und wenn bestimmte Werte der Alarmzeit-Uhr erreicht sind,
lädt der Wurm die MPR.DLL-Bibliothek, ruft die Funktion WNetEnumCashedPasswords
auf und sendet die RAS-Passwörter und alle versteckten Windows-Passörter
an die E-MAIL-Adresse:'mailme@super.net.ph', die wahrscheinlich dem Viren-Autor gehört. Der Trojaner nutzt den SMTP-Server 'smtp.super.net.ph'
Die Betreff-Zeile lautet:
'Barok... email.passwords.sender.trojan'
Im Text selbst findet man einen Copyright-Hinweis des Autors:
barok ...i hate go to school suck ->by:spyder @Copyright (c) 2000 GRAMMERSoft Group >Manila,Phils.
Ausserdem findet man dort verschlüsselten Text für interne Zwecke.
Dann erstellt der Wurm die HTML-Datei "LOVE-LETTER-FOR-YOU.HTM" im Windows-System-Verzeichnis.
Diese Datei enthält den Wurm und verbreitet sich jedesmal, wenn der Benutzer einen IRC-Kanal mit mIRC öffnet.Dazu überschreibt der Wurm die SCRIPT.INI-Datei im mIRC-Verzeichnis.
Der Wurm verbreitet sich nun über das OUTLOOK-Programm, indem er sich selbst an alle Adressaten im Adressbuch von Outlook verschickt. Die Nachricht lautet:
Betreff: ILOVEYOU
Text: kindly check the attached LOVELETTER coming from me.
Anhang: LOVE-LETTER-FOR-YOU.TXT.vbs
Der Liebesbrief wird einmal an alle Adressaten versandt. Danach setzt der Wurm einen Marker in der Registry, damit er die Mail kein zweitesmal verschickt.
Der Wurm untersucht nun alle Verzeichnisse auf allen Datenträgern mit und ohne
Netzwerk auf Dateien mit der speziellen Endungen.
Dateien mit der Endung ".js", ".jse", ".css", ".wsh", ".sct" und ".hta" ersetzt er durch Dateien mit dem identischen Namen, aber der Endung ".vbs".
Dateien mit der Endung ".jpg" und ".jpeg" werden gelöscht und durch Viren-Dateien gleichen Namens und der zusätzlichen Endung ".vbs" ersetzt (aus PICTURE.JPG wird so z.B. PICTURE.JPG.VBS).
MP2 und MP3-Dateien werden durch den Virus ersetzt und die Original-Dateien versteckt.
Am 4.5.2000 tauchte der Wurm zum erstenmal auf. Das Ursprungsland ist wahrscheinlich die Phillipinen. Am Anfang des Viren-Codes findet man den Text:
barok -loveletter(vbe) <i hate go to school>
by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines
Falls Ihr System bereits infiziert ist, können Sie den Wurm beseitigen, indem Sie
Alle .vbs-Dateien in allen Verzeichnissen und auf allen Datenträgern löschen
Die Datei LOVE-LETTER-FOR-YOU.HTM im Windows-Sytem-Verzeichnis löschen
Die Dateien WIN-BUGSFIX.EXE und WINFAT32.EXE im Internet-Explorer-Download-Verezeichnis löschen
Im mIRC-Installations-Verzeichnis (falls vorhanden) die Datei SCRIPT.INI löschen.
VARIANTE: LoveLetter.B
Diese Variante unterscheidet sich durch die Betreff-Zeile:
Betreff: Susitikim shi vakara kavos puodukui...
Text: kindly check the attached LOVELETTER coming from me.
Anhang: LOVE-LETTER-FOR-YOU.TXT.vbs
Die Betreff-Zeile ist in litauischer Sprache und bedeutet:
"Lasst uns diesen Abend zu einer Tasse Kaffee treffen"
Die Kommentar-Zeile dieser Variante enthält den Text:
Modified Lameris Tamoshius / Lithuania (Tovi systems)
VARIANTE: LoveLetter.C
Diese Variante erscheint als E-MAIL mit:
Betreff: fwd: Joke
Anhang: Very Funny.vbs
VARIANTE: LoveLetter.D
Diese Variante ist kaum gegenüber der Vaiante VBS/LoveLetter.A verändert.
VARIANTE: LoveLetter.E
VBS/LoveLetter.E verbreitet sich mit folgender Muttertags-Nachricht.
Betreff: Mothers Day Order Confirmation
Text: We have proceeded to charge your credit card for the
amount of $326.92 for the mothers day diamond special.
We have attached a detailed invoice to this email.
Please print out the attachment and keep it in a safe
place.Thanks Again and Have a Happy Mothers Day!
mothersday@subdimension.com
Anhang: mothersday.vbs
Ausserdem löscht diese Variante alle ".ini" und ".bat"-Dateien anstatt ".jpg" und ".jpeg"-Dateien.
Diese Variante versucht nicht die Datei "WIN-BUGSFIX.exe" aus dem Internet zu laden, aber Sie verändert ebenfalls die Internet-Explorer-Startseite.
VARIANTE: LoveLetter.F
VBS/LoveLetter.F verbreitet sich mit folgender Viren-Warnungs-Nachricht.
Betreff: Dangerous Virus Warning
Text: There is a dangerous virus circulating. Please click
attached picture to view it and learn to avoid it.
Anhang: virus_warning.jpg.vbs
VARIANT: LoveLetter.G
VBS/LoveLetter.G is ähnlich wie der original VBS/LoveLetter.A. Dies Variante scheint eine Viren-Warnung von Symantec zu sein, was aber nicht richtig ist.
Betreff: Virus ALERT!!!
Von: support@symantec.com
Text:
Dear Symantec customer,
Symantec's AntiVirus Research Center began receiving
reports regarding VBS.LoveLetter.A virus early morning on
May 4, 2000 GMT.
This worm appears to originate from the Asia Pacific
region. Distribution of the virus is widespread and
hundreds of thousands of machines are reported infected.
The VBS.LoveLetter.A is an Internet worm that uses
Microsoft Outlook to e-mail itself as an attachment.
The subject line of the e-mail reads ILOVEYOU, with the
attachment titled LOVE-LETTER-FOR-YOU.TXT.VBS. Once the
attachment is opened, the virus replicates and sends an
e-mail to all e-mail addresses listed in the address book.
The virus also spreads itself via Internet relay chat and
infects files on local and remote drives including files
with extensions vbs, vbe, js, sje, css, wsh, sct, hta, jpg,
jpeg, mp3, mp2.
Users should exercise caution when opening e-mails with
this subject line, even if the e-mail is from someone they
know, as that is how the virus is spread.
Symantec Corp. today announced availability of the virus
definition to detect, repair and protect users against the
VBS.LoveLetter.A virus.
This definition is available now via Symantec's LiveUpdate
and can also be downloaded from the following web sites:
http://www.symantecstore.com/AF74211/promo/loveletter
http://www.digitalriver.com/symantec
Also as a quick solution Symantec Corp. offers Visual Basic
Script to protect your PC against this worm. (See
attached.)
Note! When executed, this script will protect Your PC from
being INFECTED by VBS.LoveLetter.A virus.
To cure already infected PC's download Norton Antivirus
Updates mentioned above.
Symantec Corporation - a world leader in internet security technology.
Anhang: protect.vbs
Diese Variante verändert die Internet-Explorer Startseite und verweist auf eine pornographische Seite. Die Standard-Suchseite zeigt auf eine Hacker-Seite. Folgende Dateien mit diesen Endungen werden unter gleichem Namen mit der zusätzlichen Endung ".vbs" erstellt:
".js", ".jse", ".css", ".wsh", ".sct", ".hta", ".com" und ".bat"
Die Original-Dateien werden gelöscht. Da alle .com-Dateien gelöscht werden, kann das System nicht mehr starten. Diese Variante versucht ebenfalls nicht "WIN-BUGSFIX.exe" herunterzuladen.
VARIANTE: LoveLetter.H
Diese Variante verbreitet sich mit folgender Nachricht:
Betreff: Important ! Read carefully !!
Text: Check the attached IMPORTANT coming from me !
Anhang: IMPORTANT.TXT.vbs
VARIANTE: LoveLetter.I
VBS/LoveLetter.I ist eine leicht veränderte Form von VBS/LoveLetter.G.
VARIANTE: LoveLetter.J
Dies Variante ist in Ihrer Fnktion identisch mit VBS/LoveLetter.A.
Die Mail-Nachricht lautet allerding:
Betrefft: How to protect yourself from the IL0VEY0U bug!
Text: Here's the easy way to fix the love virus.
Anhang: Virus-Protection-Instructions.vbs
VARIANTE: LoveLetter.K
Diese Variante verbreitet sich mit folgender Nachricht:
Betreff: Thank You For Flying With Arab Airlines
Text: Please check if the bill is correct, by opening the
attached file.
Anhang: ArabAir.TXT.vbs
VBS/LoveLetter.K löscht Dateien mit der Endung: ".dll" und ".exe", und fügt sich selbst als Datei mit gleichem Namen, aber der Endung ".vbs" hinzu. Anschließend kopiert er sich selbst als Dateien mit den Namen, die alle ".sys"-Dateien haben und gibt sich die Endung ".vbs" Die Original-Dateien werden versteckt.
VARIANTE: LoveLetter.L
VBS/LoveLetter.L ist funktionell dentisch mit VBS/LoveLetter.A.
VARIANTE: LoveLetter.M
Diese Variante enthält eine deutsche Nachricht mit folgendem Inhalt:
Betreff: Bewerbung Kreolina
Text: Sehr geehrte Damen und Herren!
Anhang: BEWERBUNG.TXT.vbs
VARIANTE: LoveLetter.N
Diese Variante verbreitet sich mit folgender Nachricht:
Betreff: LOOK!
Text: hehe...check this out.
Anhang: LOOK.vbs
Diese Variante löscht alle Dateien mit der Endung".xls" oder ".mdb". Ausserdem versteckt sie alle Dateien mit ".lnk" oder ".exe". Nachdem die Original-Datei gelöscht oder versteckt wurde, , erstellt der Wurm eine Kopie von sich selbst, indem er den Original-Namen benutzt und die Endung ".vbs" anhängt.
VARIANTE: LoveLetter.O
VBS/LoveLetter.L ist funktionell dentisch mit VBS/LoveLetter.A.
VARIANTE: LoveLetter.P
Diese Variante verbreitet sich mit folgender Nachricht:
Betreff: Variant Test
Text: This is a variant to the vbs virus.
Anhang: IMPORTANT.TXT.vbs
Diese Variante löscht alle Dateien mit der Endung ".mpeg", ".avi", ".qt" oder ".qtm". Ausserdem versteckt sie alle Dateien mit ".mpg". Nachdem die Original-Datei gelöscht oder versteckt wurde, , erstellt der Wurm eine Kopie von sich selbst, indem er den Original-Namen benutzt und die Endung ".vbs" anhängt.
VARIANTE: LoveLetter.Q
Diese Variante verbreitet sich mit folgender Nachricht:
Betreff: Yeah, Yeah another time to DEATH...
Text: This is the Killer for VBS.LOVE-LETTER.WORM.
Anhang: Vir-Killer.vbs
VBS/LoveLetter.Q löscht alle Dateien mit der Endung ".zip" oder ".rar". Ausserdem versteckt sie alle Dateien mit ".asm" oder ".pas". Nachdem die Original-Datei gelöscht oder versteckt wurde, , erstellt der Wurm eine Kopie von sich selbst, indem er den Original-Namen benutzt und die Endung ".vbs" anhängt.
Diese Variante breitet sich nicht über mIRC aus.
VARIANTE: LoveLetter.R
Diese Variante verbreitet sich mit folgender Nachricht:
Betreff: PresenteUOL
Text: O UOL tem um grande presente para voce, e eh exclusivo. Veja o arquivo em anexo. http://www.uol.com.br
Anhang: UOL.TXT.vbs
VARIANTE: LoveLetter.S
VBS/LoveLetter.S ist eine leicht veränderte Version von VBS/LoveLetter.N. Diese Variante versteckt Dateien mit der Endung ".mp3" und ".mp2" wie VBS/LoveLetter.A.
VARIANTE: LoveLetter.T
Beschreibung wird nachgereicht.
VARIANTE: LoveLetter.U
Beschreibung wird nachgereicht.
VARIANTE: LoveLetter.V
VBS/LoveLetter.V ist eine leicht veränderte Version von VBS/LoveLetter.L
VARIANTE: LoveLetter.W
Diese Variante verbreitet sich mit folgender Nachricht:
Betreff: IMPORTANT: Official virus and bug fix
Text: This is an official virus and bug fix. I got it from our system admin. It may take a short while to update your system files after you run the attachment.
Anhang: Bug and virus fix.vbs
VBS/LoveLetter.W ersetzt alle Dateien mit der Endung ".exe", ".com", ".dll" oder ".sys" durch sich selbst. Dadurch wird das System unbrauchbar.
|