Dieser Virus nützt wieder einmal die Möglichkeiten der Visual Basic Scriptsprache (VBS). Doch Vorsicht! Obwohl der Virus in VB-Skript realisiert wurde, ist er als Dropper als Makrovirus in Microsoft Word Dokumenten zu finden. Beim Öffnen eines infizierten Dokuments wird er aktiviert und erstellt sich selbst unter dem Dateinamen GuormEx.vbs im Windows-Systemverzeichnis. Anschließend wird diese Datei sofort ausgeführt.
Anmerkung:
Allerdings kann es unter bestimmten Umständen zu einem Absturz von Microsoft Word führen. Für Windows 95- oder Windows 98 Anwender kann dies der Absturz des ganzen Betriebsystems bedeuten. Dafür ist jedoch nicht der Virus verantwortlich.
Dieses VB-Skript vervielfältigt sich selbst nochmals als winuser.dll und user32.dll.vbs in das Windows-Systemverzeichnis. Außerdem sorgt er noch dafür, daß das Skript auch bei jedem Systemstart automatisch aufgerufen wird. Dafür fügt es den Schlüssel user32=wscript.exe <Windows-System-Verzeichnis>\user32.dll.vbs % in den Ast HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run der Registry ein.
Als nächstes überprüft er, ob er sich bereits die Anwender im Outlook-Adressbuch per Email versandt hat. Dies merkt sich der Virus in der Registry in dem Ast HKCU\software\Guorm, Platzhalter mailed. Falls nicht, generiert er einen zufälligen Dateinamen aus den Worten links, cool, funny, anti-loveletter, guorm, pot, win2k, icq2k, money, funnypic.jpg, quake, Year2K, Mirc2K, Word2001, FunStuff oder WindowsMe. Auch die Dateinamenserweiterung kann zwischen den Worte .vbs, .vbe, .txt.vbs, .jpg.vbs, .avi.vbs oder .scr.vbs variieren.
Unter diesem Namen verschickt er sich nun an alle Kontakte, die im Adressbuch von Microsoft Outlook eingetragen sind. Allerdings muss hierfür bereits die Version OutLook 2000 installiert sein, damit dem Virus diese Funktionsmerkmale zur Verfügung stehen.
Die selbst erzeugte Email müsste dann so oder ähnlich aussehen:
Desweiteren durchsucht der Virus alle Festplatten nach dem Programm mIRC. In jedem Verzeichnis, in dem die Dateien mirc.ini, mirc32.exe oder mlink32.exe , gefunden werden, ersetzt bzw. erstellt er eine Datei script.ini. Dies erfolgt jedoch nur dann, wenn er noch nie danach gesucht hat (der Platzhalter Mirqued im Schlüssel HKCU\software\Guorm der Registry existiert nicht). Durch diese Ini-Datei verschickt sich der Virus innerhalb des IRC.
Eine Schadensroutine besitzt der Virus nicht, doch kann er für Administratoren von Email-Servern evtl. Überstunden bedeuten. Fraglich bleibt nur noch, wieso er sich bei jedem Windows-Start ausführen läßt, obwohl er nur einmal aktiv wird.
weitere