H+BEDV Datentechnik GmbH

Homepage
Produkte

News

Virenkunde
Downloads
Support
Kontakt
 
English

Copyright 1998-2000
webmaster@antivir.de
Virenbeschreibung

av_shad.gif (1951 Byte)
 

Der Email-Wurm IWorm.BleBla

Der Virus 'BleBla' (auch Romeo & Julia genannt) ist ein Wurm, der sich über das Internet verbreitet. Er verschickt sich per Email mit zwei Attachments (Dateianhängen). Dieser Wurm erweist sich als besonders gefährlich, da er bereits beim Öffnen bzw. durch die Vorschau der Email aktiviert wird und das System infiziert. Für seine Verbreitung setzt der Wurm voraus, dass Windows im Verzeichnis C:\WINDOWS\ installiert ist.

Der Email sind folgende beiden Dateien als Attachments beigefügt: MYJULIET.CHM und MYROMEO.EXE. Beim Öffnen einer infizierten Email wird von Windows automatisch die Datei MYJULIET.CHM ausgeführt, die aus einer komprimierten HTML-Seite besteht. Das Script in dieser HTML-Seite führt dann die Datei MYROMEO.EXE aus.

Die Datei ROMEO.EXE ist der Programmiersprache Delphi programmiert und ist etwa 30Kbyte groß. Dieses Programm öffnet das Adressbuch von Windows, liest dort Email-Adressen aus und versendet sich an diese weiter. Für den Versand nutzt der Wurm sechs polnische SMTP-Server.

Der Betreff solcher Emails lautet folgender Maßen:

Romeo&Juliet
where is my Juliet ?
where is my Romeo ?
Re:
hello world
Matrix has you....
I LOVE YOU :)
from shake-beer
my picture
ble bla, bee
merry christmas
surprise !
Caution: NEW VIRUS !
newborn
hi
last wish ???
lol :)
scandal !
^_^
!!!
,,....´
!!??!?!?

 

Eine Variante des Wurmes verändert die Registry-Einträge. Die ROMEO.EXE kopiert sich nach \WINDOWS\SYSRNJ.EXE und verändert die Einträge in der Registry-Datei.

Es werden folgender Eintrag erstellt:

HKEY_CLASSES_ROOT\rnjfile
\DefaultIcon =%1
\shell\open\command =sysrnj.exe "%1" %*

und folgende Einträge geändert:

\.exe =rnjfile
\.jpg = rnjfile
\.jpeg = rnjfile
\.jpe = rnjfile
\.reg = rnjfile
\.arj = rnjfile
\.bmp = rnjfile
\.lha = rnjfile
\.rar = rnjfile
\.gif = rnjfile
\.avi = rnjfile
\.zip = rnjfile
\.mpg = rnjfile
\.mpeg = rnjfile
\.xls = rnjfile
\.doc = rnjfile
\.vqf = rnjfile
\.mp2 = rnjfile
\.mp3 = rnjfile
\.wmf = rnjfile
\.wma = rnjfile
\.wmv = rnjfile

Durch diese Einträge wird der Wurm jedesmal gestartet, wenn eine Datei mit einer entsprechenden Endung aufgerufen wird.

'IWorm.BleBla' nutzt eine Sicherheitslücke des Windows Scripting Host: eine Email mit entsprechendem Inhalt wird automatisch ausgeführt. Um diese Sicherheitslücke zu schließen bietet Microsoft ab sofort ein Patch auf folgender Internetseite an:

http://www.microsoft.com/technet/security/bulletin/ms00-037.asp

 

Und so entfernen Sie den Virus:

Löschen Sie zuallererst die infizierten Emails aus ihren Postfächern.

Laden Sie bitte anschließend den von uns bereitgestellten Registry-Key bb_key.reg zum Wiederherstellen ihres Systems herunter. Wechseln Sie nun in den MS-DOS-Modus und geben Sie folgenden Befehl ein:

regedit %Pathname%\bb_key.reg

Wobei %Pathname% für den Pfad steht, wo Sie die Datei bb_key.reg abgespeichert haben (es empfiehlt sich diese Datei z.B. in ‘C:\‘ oder ‘C:\temp‘ abzuspeichern).

Starten Sie nun Windows erneut und löschen Sie den Eintrag in der Registry mit dem Programm "regedit":
HKEY_CLASSES_ROOT\RNJFILE

Um den Internet-Wurm 'IWorm.BleBla' nun endgültig von ihrem Computersystem zu entfernen, löschen Sie die beiden Dateien MYJULIET.CHM und MYROMEO.EXE sowie die Datei SYSRNJ.EXE aus dem Windows-Verzeichnis.

 

  weitere Virenbeschreibungen
  Virenkunde