H+BEDV Datentechnik GmbH

Homepage
Produkte

News

Virenkunde
Downloads
Support
Kontakt
 
English

Copyright 1998-2000
webmaster@antivir.de
Virenbeschreibung

av_shad.gif (1951 Byte)
 

VBS.LiveStages.A

 

Dieser Visual Basic-Scriptvirus ist sehr geschickt bei seiner Tarnung. Er liegt im Windows-Format .SHS (Scrap Object) vor. Dieses Dateierweiterung wird nicht von Windows angezeigt – auch wenn explizit alle Dateierweiterungen angezeigt werden sollen. Somit bleibt nur noch der Dateiname LIFE_STAGES.TXT zu sehen. Um seine Funktion nach dem Start nicht aufliegen zu lassen, erzeugt der Virus eine gleichnamige Textdatei im Temp-Verzeichnis und zeigt diese zur Täuschung an. Um das ganze noch zu perfektionieren, wird sogar das standartmäßige Icon der .SHS-Dateien durch das .TXT-Icon ersetzt.

Das eigentliche Einnisten auf dem betroffenen Rechner erfolgt nach einem Neustart des Systemes, da er sich bei seinem ersten Aufruf in den Autostart-Ordner kopiert hat. Weiterhin legt er Kopien von sich selbst an:

  • Windows-Verzeichnis
  • Als "MSINFO16.TLB" im Windows\System-Verzeichnis
  • (Nicht sichtbar) als "MSRCYCLD.DAT" im Papierkorb 
  • Einem Zufallsnamen aus den Wörtern "IMPORTANT", "INFO", "REPORT", "SECRET" oder "UNKNOWN". Dahinter kann evtl. noch das Zeichen "-" oder "_" angehängt sein inkl. einer Zahl zwischen 1 und 999.
    Die Kopie unter diesem Namen wird in alle Root-Verzeichnisse aller verfügbaren Laufwerken (inkl. Netzwerk), sowie in den Ordner "Eigene Dateien" und in das Verzeichnis "Programme" kopiert.

Nun wird noch eine Datei "SCANREG.VBS" im Windows-Systemverzeichnis erstellt. Diese Datei ist hauptsächlich dafür verantwortlich, fehlende Dateien aus den angelegten Backups wieder zu rekonstruieren. Sie wird bei jedem Systemstart über folgenden Eintrag in der Registry aufgerufen:
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    RunServices\ScanReg=SCANREG.VBS

Auch von dieser wird eine Kopie unter dem Namen "RCYCLDBN.DAT" nicht sichtbar im Papierkorb gesichert. Eine zweite Datei namens "DBINDEX.VBS" wird noch in den Papierkorb erstellt inkl. eine Kopie davon im Windows-System-Verzeichnis als VBASET.OLB.

Ist das Programm ICQ installiert, modifiziert das Programm folgende Registry-Einträge:
  • HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\Agent\Apps\ICQ\Enable=Yes
  • HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\Agent\Apps\ICQ\
    Parameters=<C:\RECYCLED>\DBINDEX.VBS>
  • HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\Agent\Apps\ICQ\
    Path=<C:\WINDOWS\WSCRIPT.EXE>
  • HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\Agent\Apps\ICQ\
    Startup=<C:\WINDOWS>

Darüber hinaus wird auch die "SCRIPT.INI" ausgetauscht, so dass er sich auch über dieses Programm weiterverschickt.

Der Virus verschiebt das Programm ebenfalls "REGEDIT.EXE" nicht sichtbar in den Papierkorb unter dem Namen "RECYCLED.VXD".

Ist Microsoft Outlook 9 (2000) installiert, dann versucht er sich an 100 Adressen im  Adressbuch weiterzuverschicken. Bei mehr als 100 Adressen im Adressbuch werden zufällig 100 Adressen ausgewählt.

Der Text des Email-Kopfes kann jedoch in den verschiedensten Variationen auftreten. Der Haupttext ist jedoch immer "Life stages", "Funny" oder "Jokes". 
Davor kann evtl. noch ein "Re:" und am Ende noch das Wort "text" stehen.

Da der Virus bei jedem Systemstart durch die Registry aufgerufen wird, löscht er sich anschließend selbst aus dem Autostart-Ordner.

 

Die infizierten Dateien werden seit der Virendefinitionsdatei 6.01.00.11 erkannt, dort allerdings noch unter dem Namen TR.Scrap.Worm - seit der VDF 6.01.00.14 werden die Dateien als VBS.LifeStages erkannt.

 

  weitere Virenbeschreibungen
  Virenkunde