H+BEDV Datentechnik GmbH

Homepage
Produkte

News

Virenkunde
Downloads
Support
Kontakt
 
English

Copyright 1998-2000
webmaster@antivir.de
Virenbeschreibung

av_shad.gif (1951 Byte)
 

VBS.LoveLetter – ein Scriptvirus

VBS.LoveLetter ist ein Scriptvirus, der sich über Windows-Emailprogramme ausbreitet. Es sind nur solche Emailsysteme betroffen, die aktive Inhalte ausführen können oder dürfen. Der Wurm benutzt selbst die Automatisierungsfähigkeiten von Outlook und ähnelt in seiner Verbreitungsmethode dem Melissa-Virus. Nur werden im Gegensatz zum Melissa-Virus alle Kontaktadressen aus Outlook als Empfänger herangezogen.

Infizierte Emails haben den Betreff (Subject) "ILOVEYOU" und im eigentlichen Text (Body) der Email "kindly check the attached LOVELETTER coming from me." Der Dateianhang (Attachment) unter dem Namen "LOVE-LETTER-FOR-YOU.TXT.vbs" ist der eigentliche Wurm.

Je nach Einstellung von Windows bzw. des Emailsystems kann die Dateinamenserweiterung (Extension) ".vbs" angezeigt werden – oder eben auch nicht. Ohne zumindest verräterische Erweiterung ".vbs" wirkt der Dateianhang natürlich unverdächtiger. Wird der Dateianhang ausgeführt, wird der Standardbrowser gestartet, dies ist üblicherweise der Internet Explorer. Es erscheint folgender Bildschirm:

Je nach Einstellung der Internet-Sicherheitsstufe erscheint folgende Sicherheitsabfrage:

Erste Merkmale für einen Befall auf Windows-Rechnern sind auf einmal zusätzliche Dateien im Windows- und im Windows-Systemverzeichnis. Im Windows-Verzeichnis ist die Datei Win32DLL.vbs und im System-Verzeichnis sind die Dateien MSKernel32.vbs und LOVE-LETTER-FOR-YOU.TXT.vbs zu finden. In allen diesen Dateien steckt der Wurm selbst drin. Darüber hinaus kopiert bzw. setzt sich der Wurm in alle erreichbaren Dateien mit „unscheinbaren“ Erweiterungen wie etwa VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, MP3, MP2, JPG und JPEG. Nachdem Windows u.U. die Dateinamenserweiterung nicht anzeigt (Ansicht -> Dateinamenerweiterung bei bekannten Dateitypen ausblenden), können solche Veränderungen erst einmal verborgen bleiben.

In die Registry setzt sich der Wurm im Run- und im RunService-Eintrag fest. Durch diese Einträge in der Registry wird der Wurm bei jedem Neustart des Systems aktiv. Die Einträge lauten:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32\
Hier zeigt der Eintrag auf das Windows-Systemverzeichnis mit dem Dateinamen MSKernel32.vbs, üblicherweise ist dies C:\WINDOWS\SYSTEM\MSKernel32.vbs.

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL\
Hier zeigt der Eintrag auf das Windows-Verzeichnis mit dem Dateinamen Win32DLL.vbs, üblicherweise ist dies C:\WINDOWS\Win32DLL.vbs.

Sofern keine (!) Datei namens WINFAT32.EXE im Windows-Systemverzeichnis existiert, versucht der Wurm einen Passwort-Trojaner zu installieren. Hierzu verwendet er den Internet Explorer, indem er einen Eintrag in HKCU\Software\Microsoft\Internet Explorer\Main\Start Page hineinsetzt. Von einer der vier möglichen URLs versucht er den Passwort-Trojaner aus dem Internet herunterzuladen. Nach erfolgreichem Download dieses Trojaners lässt der Wurm diesen Key auf eine leere Seite zeigen (about:blank).

Der Passwort-Trojaner ist in der Registry wie folgt zu finden: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX\
Der Eintrag zeigt auf das Windows-Downloadverzeichnis mit dem Dateinamen WIN-BUGSFIX.exe, beispielsweise ist dies C:\WINDOWS\TEMP\WIN-BUGSFIX.exe oder C:\WINDOWS\DOWNLOADED PROGRAM FILES\WIN-BUGSFIX.exe.

Doch es geht in der Registry noch weiter: Nach erfolgreicher Verbreitung via Email legt der Wurm für jede verschickte Email einen Eintrag unter HKCU\Software\Microsoft\WAB\ an. Dort sind alle betroffenen Kontaktadressen zu finden, die eine infizierte Email erhalten haben. Diese Liste stammt ursprünglich aus Outlook, wohl um einen Mehrfachversand zu vermeiden.

Seine Schadensroutine ist ein mehr oder weniger umfangreiches Dateilöschen auf allen verfügbaren Laufwerken. Hierzu gehören auch gemappte Netzwerklaufwerke.

Der Wurm sucht nach Dateien mit der Endung *.mp3 und *.mp2. Diese Dateien werden im Verzeichnis als versteckt gekennzeichnet und gleichnamige Dateien, jedoch mit zusätzlicher Dateinamenserweiterung *.vbs, angelegt. In diesen Dateien, beispielsweise *.mp3.vbs, ist der Code des Wurmes enthalten.

Weiterhin sucht der Wurm nach Dateien mit der Endung *.jpg und *.jpeg. Diese werden gelöscht und der gesamte Dateiname um *.vbs erweitert. In diese neue Datei hinein kopiert sich der Wurm, die alte Datei ist komplett verlorengegangen und auch nicht mehr durch den Papierkorb wiederherstellbar.

Dateien mit der Endung *.js, *.jse, *.css, *.wsh, *.sct, *.hta werden gelöscht und mit der Dateinamenserweiterung *.vbs neu erzeugt. Der Inhalt der neu erzeugten Datei ist der Code des Wurmes selbst, die alte Datei ist komplett verlorengegangen und auch nicht mehr durch den Papierkorb wiederherstellbar.

Dateien mit der Dateinamenserweiterung *.vbs oder *.vbe werden vom Wurm mit sich selbst überschrieben. Der alte Inhalt der Dateien ist verlorengegangen.

Doch auch Anwender des Chatprogrammes mIRC bleiben nicht verschont. Findet der Wurm eine der Dateien Mirc32.exe, Mlink32.exe, Mirc.ini, Script.ini oder Mirc.hlp, dann wird in demjenigen Verzeichnis, in dem eine dieser Dateien gefunden wurde, eine Scriptdatei des mIRC-Programmes erzeugt. Eine evtl. bestehende Script.ini wird überschrieben. In der Scriptdatei sind folgende Texte zu finden: ";mIRC Script", ";  Please dont edit this script... mIRC will corrupt, if mIRC will", "     corrupt... WINDOWS will affect and will not run correctly. thanks", ";", ";Khaled Mardam-Bey", ";http://www.mirc.com". Durch das Script würde die vom Wurm erzeugte "LOVE-LETTER-FOR-YOU.HTM" an alle Chat-Teilnehmer verschickt werden, die neu in den IRC-Channel eintreten

Dem Wurm selbst sind noch folgende Klartexte zu entnehmen: "barok -loveletter(vbe) <i hate go to school>" und "by: spyder  /  ispyder@mail.com  /  @GRAMMERSoft Group  /  Manila,Philippines". Dies läßt den Schluss nahe, dass der Wurm ursprünglich von den Philippinen stammt.

Der Wurm funktioniert nur unter Outlook 98 oder Outlook 2000. Er funktioniert nicht unter Outlook Express. Varianten dieses Wurmes sind VBS.LoveLetter.B (Susitikim) und VBS.LoveLetter.C (Joker, VeryFunny). Es ist mit weiteren Varianten dieses Wurmes zu rechnen.

Es wird daher dringend empfohlen, keine ausführbaren Anhänge (aktive Inhalte) aus Emails heraus auszuführen. Besonders dann nicht, wenn diese Anhänge nicht vorher definitiv verabredet wurden. Es ist doch zumindest ungewöhnlich, wenn „Mann“ ebenfalls von „Mann“ eine Email mit dem Betreff „ILOVEYOU“ bekommt?

Doch auch neben diesen .vbs-Dateien gibt es noch andere, die ebenfalls (automatisch) ausgeführt werden könnten. Neben den bekannten reinrassigen Programmen (.com, .exe), Batchdateien (.bat), gibt es weitere Dateitypen, der Inhalte latent gefährlich sein können: Dokumente, Spreadsheets, Office-Dateien (.xls, .doc, .ppt etc.) aber auch andere Dateien: Fontdateien (.ttf), Scratchdateien (.shs), Screensaver (.scr). Nachdem in Windows und/oder Emailsystemen die Anzeige der Dateinamenserweiterungen standardmäßig ausgeschaltet sein kann, müssen diese Erweiterungen als solche gar nicht als gefährlich in Erscheinung treten! Die Sicherheitsstufe beim Internet Explorer sollte nicht ohne zwingenden Grund verringert werden.

AntiVir erkennt über 100 Varianten.

 

  weitere Virenbeschreibungen
  Virenkunde