H+BEDV Datentechnik GmbH

Homepage
Produkte

News

Virenkunde
Downloads
Support
Kontakt
 
English

Copyright 1998-2000
webmaster@antivir.de
Virenbeschreibung

av_shad.gif (1951 Byte)
 

VBS.Elva

Dieser Email-Wurm versendet sich genau wie sein berühmter Vorgänger "Loveletter" via MS Outlook. Alle im Adressbuch eingetragenen Kontakte erhalten eine Email, die folgendermaßen aussieht:

 

Wird die als Attachment beigefügte Datei CARD.HTA ausgeführt, geschieht folgendes:

  1. Der Virus erzeugt im Verzeichnis C:\WINDOWS\ die Datei FS.VBE und kopiert diese dann nach C:\WINDOWS\SYSTEM\FS.VBS.

  2. Folgende Registry-Einträge werden erzeugt:
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\FS "C:\WINDOWS\SYSTEM\FS.VBS"
    Der Virus wird bei jedem Systemstart mitgeladen.
  • HKCU\Software\Microsoft\Office\9.0\Word\Security\Level "1"
    Die Sicherheitseinstellung von Word 9 wird auf "niedrig" gesetzt.
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
    Settings\Zones\0\1201 "0"
    Auf dem lokalen Rechner darf der im Moment angemeldete Benutzer ActiveX Steuerelemente ausführen, die nicht sicher sind.
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Internet
    Settings\Zones\0\1201 "0"
    Auf dem lokalen Rechner dürfen ActiveX Steuerelemente ausgeführt werden, die nicht sicher sind.
  • HKLM\Software\Microsoft\FSD; HKLM\Software\Microsoft\FSW
    Hier wird der aktuelle Tag gespeichert.
  • HKLM\Software\Microsoft\FSH; HKLM\Software\Microsoft\FSV
    Der gesamte Code des Virus wird hier gespeichert.
  1. Es wird die Datei CARD.HTA angelegt und diese dann an alle Einträge im MS Outlook Adressbuch verschickt.
  2. Die Internetadresse "http://www.jasonnet.cc/elva" wird unter dem Namen "Elva's Page" zu den Favoriten hinzugefügt.
  3. Der Wurm sucht nach allen VBS-Dateien und ersetzt deren Code mit seinem eigenen.
  4. Außerdem werden folgende Dateitypen mit dem Windows Skripting Host verknüpft:
    *.JS; *.JSE; *.GIF; *.JPG; *.MP3; *.WSH; *.WSF; *.WSC; *.SHS; *.SCT. Diese Dateien werden jetzt genauso wie eine *.vbs Datei ausgeführt.
  5. Die globale Vorlage von Word wird von dem Virus infiziert. Ein kleiner Fehler im Virus verhindert, daß weitere Word Dokumente infiziert werden. Es ist jedoch zu erwarten, daß neue Varianten auftauchen, in denen der Fehler behoben ist.
  6. Es erscheint ein Fenster mit dem Inahlt "Happy Birthday":

  1. Drei Tage nachdem der Virus zum erstem mal gestartet wurde, scannt er die gesamte Festplatte. Findet er Dateien mit folgenden Endungen: *.JS; *.JSE; *.GIF; *.JPG; *.MP3; *.WSH; *.WSF; *.WSC; *.SHS; *.SCT, wird deren Inhalt mit dem Viruscode überschrieben.

  2. Am 24.8 eines jeden Jahres wird folgende Meldung am Bildschirm ausgegeben:

 

  weitere Virenbeschreibungen
  Virenkunde