VBS.NEWLOVE – neuer Scriptvirus ?
Zur Zeit macht wieder ein neuer Email-Wurm namens "NewLove" die Runde. Durch eine destruktivere Schadensroutine verursacht dieser Email-Wurm einen weitaus größeren Schaden als seine Vorgänger aus der ILOVEYOU-Familie.
Der Wurm hat 3 Funktionen:
Funktion 1: Der Wurm versendet sich an alle Kontakte in Outlook
Funktion 2: Alle Dateien werden mit 0 Bytes überschrieben
Funktion 3: Windows kann nicht mehr gestartet werden
Details:
Wird der Wurm durch Doppelklick auf das infektöse Attachment des empfangenen Emails gestartet, kopiert er sich in das Windows- und Windows\System-Verzeichnis. Hierbei wird der Code des Wurmes mit unterschiedlich vielen Kommentarzeilen aufgefüllt, vermutlich um einer schnellen Entdeckung zu entgehen. Dadurch wird er von mal zu mal größer. Der eigentliche Code selbst ist nur rd. 5 KB groß. Außerdem werden folgende Registryeinträge gemacht.
1. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
Hierbei trägt sich der Wurm unter einen von ihm zufällig gewählten Namen um. Dies kann auch der Namen einer Datei sein, die es bereits auf dem Rechnersystem gibt. Der Wurm schaut hierzu in C:\WINDOWS\APPLOG nach. Falls hier keine Datei gefunden werden kann, wählt er einen zufälligen Namen zwischen einem und 31 Zeichen und hängt eine der folgenden 11 Erweiterungen an:
DOC, XLS, MDB, BMP, MP3, TXT, JPG, GIF, MOV, URL, HTM
Ist auf dem Rechnersystem MS Outlook installiert, verschickt sich der Wurm zeitabhängig an alle im Adressbuch eingetragenen Empfänger. Ist kein Outlook installiert ist, beginnt er sofort mit seiner Schadensroutine.
Die Email von MS Outlook wird so oder ähnlich aussehen:
Nachden sich der Wurm nun selbst verschickt hat, beginnt er auf allen lokalen und allen Netzlaufwerken alle Dateien mit 0 Byte zu überschreiben. Er verschont nur diejenigen (mangels Öffnungserfolg), die bereits geöffnet oder vom System gelockt sind. Alle Dateien werden außerdem mit der Endung .vbs versehen. Explorer.Exe wird beispielsweise zu Explorer.Exe.Vbs. Hierbei kann es dazu kommen, dass der Wurm mehrmals die Datei umbenennt. z.B. Explorer.Exe.Vbs.Vbs.Vbs
Fazit:
Aus dem Email-Sturm, ausgelöst durch ILOVEYOU in den letzten Wochen, ist bereits gelernt geworden. Es sind bisher keine Schäden gemeldet worden. Ebenso steht eine echtes ITW-Auftreten in Deutschland bisher noch aus - es ist bisher kein einzige Meldung bei uns eingegangen. Aus diesem gegebenen Anlaß möchten wir nochmals darauf hinweisen, nicht abgesprochene Attachments (Dateianhänge) mit größter Vorsicht zu behandeln. Ebenso keinen unbedachten Doppelklick auf Attachments zu machen. Sinnvollerweise sollte auch der WSH (Windows Scripting Host) deinstalliert und die Verknüpfung mit Visual Basic Script (VBS) aufgehoben werden. Evtl. ist auch über den Einsatz eines nicht so sorglos mit aktiven Inhalten umgehenden Emailprogrammes, besonders im Firmenumfeld, nachzudenken.
Das aktuelle AntiVir-Update 6.01.00.08 erkennt nicht nur diesen Email-Wurm, sondern die Spezialisten von H+BEDV haben auch bereits weitere Verbreitungsmöglichkeiten mit berücksichtigt. Damit erhalten Ihre Daten auch einen Schutz gegen weitere "NewLove"-Mutationen.
weitere Virenbeschreibungen
Virenkunde
