Es wurden wieder neue Abarten des berüchtigten ILOVEYOU-Viruses gefunden (Infostand 02.10.2000)

1 Variante

Diese neue Abart soll ein großes Durcheinander im System anrichten. Bei dem VBS/Stages genannten Wurm handelt es sich um eine E-Mail mit einer sogenannten Shell-Scrap-Datei (*.SHS) als Attachment, das ein VB-Skript enthält. Das Skript nimmt diverse Modifikationen an der Windows-Registriy vor und verbreitet sich sowohl über das Outlook-Adressbuch als auch über Windows-IRC-Clients. Dabei geht er allerdings etwas geschickter vor als sein Vetter der ILOVEYOU:
Zum einen enthalten die Mails unterschiedliche Subjects, zum anderen tauchen die verschickten Mails nicht in Outlooks SENT-Ordner auf und werden als BCC (Blind Carbon Copied) verschickt. Leider existiert nach derzeitigen Kenntnissen keine konkrete Schadensfunktionen, jedoch richtet der Wurm eine Menge Durcheinander im System an. Er macht auch vor einem Netzwerk nicht halt, sofern Netzwerklaufwerke verbunden sind. Zunächst verstreut er Programme (*.SHS) mit zufälligen Namen überall auf dem Rechner. Desweiteren verschiebt er die REGEDIT.EXE in den Papierkorb und modifiziert diverse Schlüssel in der Windows-Registriy. Schließlich ändert er (ebenfalls in der Registry) das Icon für .shs-Dateien, sodass sie auf dem Desktop mit dem Icon für ordinäre Textdateien erscheinen.
.shs-Dateien (ShellScrap-Dateien) enthalten Informationen darüber, aus welchem Programm heraus die .shs Dateien angelegt wurden. Bei einem Doppelklick auf eine ShellScrapDatei startet dann diese Anwendung mit den Daten. Der Windows-Explorer zeigt die Extensions '.shs' unabhängig von allen Einstellungen nie an. Durch Umbenennen im Explorer ist es nicht möglich, den Typ der Datei zu ändern.
Eine Schritt-für-Schritt-Anleitung, um das angerichtete Chaos im Falle einer Infektion wieder zu beseitigen, finden Sie bei mcafee
2 Variante
I-Worm.Timofonica verbreitet sich auch wie sein berüchtigter Vorgänger. Über das Adressbuch von Microsofts Mailprogramm Outlook schickt sich auch der 'Handy-Wurm' an alle eingetragenen Adressen, nachdem ein VBS-Attachement in der Mail per Doppelclick geöffnet wurde. Das Neue ist, dass der E-Mail-Wurm zusätzlich noch SMS an Handy-Teilnehmer verschickt - und zwar genau an die gleiche Anzahl, wie er Adressbucheinträge in Outlook findet. Dazu benutzt er zufällig generierte Handynummern und das spanische SMS-Gateway correo.movistar.net. I-Worm. Timofonica hat zusätzlich noch eine gefährliche Schadensfunktion: Nach dem Doppelklick auf die VBS-Datei installiert der Wurm ein Programm namens cmos.exe und verankert es in der Windows-Registry. Beim nächsten Start von Windows überschreibt cmos.exe die CMOS-Einstellung des Rechners und zerstört Dateien auf den lokalen Festplatten. Nach Angaben von Kaspersky Labs soll der E-Mail-Wurm schon verbreitet sein. Momentan (Okt/2000) ist die Mail aufgrung des rein spanischen Inhalts und des E-Mail-Subjects 'Timofonica' leicht zu erkennen, jedoch sind diese Inhalte ohne Aufwand austauschbar, sodass man immer nach potenziell gefährlichen Attachments Ausschau halten sollte.
Es muss jedoch abschließend erwähnt werden, dass die Meldungen über eMails, deren bloßes Lesen Hardware zerstört oder zumindest alle Daten löschen sollen schlechte Scherze sind (hoaxes), denn E-Mails können klassische Viren nur in sogenannten Attachments enthalten. Gefahr besteht erst dann, wenn Programme oder Makros (z.B. in Word-Dokumenten) aus solchen Anhängen ausgeführt werden. E-Mail-Programme, die - ähnlich wie WWW-Browser - aktive Inhalte (etwa VB-Script/ActiveX, Java oder JavaScript) in HTML-E-Mails interpretieren, bergen allerdings ein hohes Risiko. Es wird empfohlen die Sicherheitseinstellungen des Browsers so zu wählen, dass in E-Mails kein solcher Code ausgeführt wird.
Information entnommen aus der Fachzeitschrift  c't, Heft 14

zurück zum Workshop

zurück zur Virusinfo

Wenn Sie keinen Frame sehen klicken Sie hier um in das Hauptmenü zu gelangen !