VBS/SST.A

Der Wurm VBS/SST.A wurde in Visual Basic Script (VBS) geschrieben und arbeitet mit dem Windows Scripting Host (WSH). WSH wird üblicherweise mit IE5 bzw. diversen Service Paks installiert.

Der Wurm versendet sich per Email und hat das Attachment AnnaKournikova.jpg.vbs angehängt. Dieser Dateianhang sieht auf den ersten Blick wie ein Bilddatei und wird von vielen Usern unbedacht geöffnet werden. Die Dateinmanserweiterung „.vbs“ wird üblicherweise NICHT angezeigt, da im Explorer in den Einstellungen die Option „Dateinamenerweiterung bei bekannten Dateitypen ausblenden“ standardmäßig angewählt ist.

Wenn der Wurm ausgeführt wird, erzeugt er folgende Registryeinträge:

HKCU\Software\OnTheFly mit dem Inhalt „Worm made with Vbswg1.05b“.Dies stellt wohl die Signatur des es Wurmes dar.

Als erstes kopiert sich der Wurm in das Windowsverzeichnis (üblicherweise C:\WINDOWS) unter dem Dateinamen „AnnaKournikova.jpg.vbs“.

Nach dem Versenden über Outlook erstellt er zusätzlich einen zweiten Registryeintrag:

HKCU\Software\OnTheFly\mailed mit dem Wert „1“.

Er verschickt sich an alle Email-Adressen, die im Outlook-Adressbuch stehen. Die Email sieht wie folgt aus:

 

Subject: Here you have ;o)

Message Body:  Hi:

                      Check This!

Attachment: AnnaKournikova.jpg.vbs

Die Nachrichten werden nach dem Versenden sofort gelöscht - und verbleiben so nicht in dem Ordner „Gesendete Objekte“.

Der Code dieses Wurmes enthält noch eine Anweisung, dass zu jeden 26. Januar die Internetseite http://www.dynabyte.nl aufgerufen werden soll. Dies ist eine Internetseite einer wohl unbeteiligten niederländischen Computerzeitschrift:

 

 

 

  weitere Virenbeschreibungen
  Virenkunde