VBS.LoveLetter.BD

Zur Zeit macht wieder ein neuer Email-Wurm namens "VBS/Loveletter.BD" die Runde. Dieser Scriptvirus basiert auf den VBS.LoveLetter und breitet sich über die Windows-Emailprogramme aus. Es sind nur solche Emailsysteme betroffen, die aktive Inhalte ausführen können oder dürfen. Der Wurm benutzt selbst die Automatisierungsfähigkeiten von Outlook und ähnelt in seiner Verbreitungsmethode dem Melissa-Virus. Nur werden im Gegensatz zum Melissa-Virus alle Kontaktadressen aus Outlook als Empfänger herangezogen.

Beim ersten Aufruf versucht der Virus sich an alle Personen im Adressbuch von Microsoft Outlook zu verschicken. Dafür legt der Virus den Schlüssel HKEY_CURRENT_USER\Software\ACH0""=1 
in der Registry an, um beim jedem weiteren Aufruf diesen Schritt zu überspringen.

Als nächstes prüft der Virus, ob folgender Schlüssel vorhanden ist: HKEY_CURRENT_USER\Software\UBS\UBSPIN\Options\Datapath 

Wird der Schlüssel gefunden, versucht der Virus ein weiteres Programm - sofern noch nicht vorhanden - von einem der drei folgenden FTP-Server zu downloaden und es auszuführen.

1. 165.121.181.24/hcheck.exe

2. alw.nih.gov/incoming/hcheck.exe

3. archive.egr.msu.edu/incoming/hcheck.exe

Diese Datei, das Programm ist ein Passwort-Stealer, ist nicht mehr auf den Servern verfügbar.

Anschließend verschickt er die ausgelesene Datei, welche im o.g. Eintrag in der Registry hinterlegt ist, an folgende Email-Adressen:

1. ct102356@excite.com

2. acch01@netscape.net

3. deroha@mailcity.com

Außerdem speichert er noch eine Kopie der Daten in der Datei CP_21863.NLS im Windows-System-Verzeichnis ab.

 

  weitere Virenbeschreibungen
  Virenkunde