Date sent:        04. Mai 2000
Subject:          Hoax-Info-Newsletter Nr. 3/2000
Send reply to:    E-Mail-Adresse

Hoax-Info-Newsletter Nr. 3/2000

Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.

Bitte besuchen Sie auch die WWW-Seite
hoax-info.de

Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die 'Extra-Blätter', die aktuelle Hoaxes und Kettenbriefe behandeln, sowie auch reale Gefahren.

Fragen zu Hoaxes und Kettenbriefen richten Sie bitte nur an diese Adresse


Inhalt:

VBS/Loveletter - Ein E-Mail-Wurm demonstriert, dass viele aus dem
Melissa-Vorfall 1999 nichts gelernt haben.

Seit heute morgen flutet ein Script-Virus nach dem spaetestens seit
Melissa hinreichend bekannten Prinzip die Mailserver in aller Welt.
Die ersten Meldungen kamen aus Asien und mit dem Lauf der Sonne sind
am europaeischen Nachmittag inzwischen auch die U.S.A. in heller
Aufruhr.

Analyse
-------

VBS/Loveletter (der Name ist zwar noch nicht offiziell 'durch', aber
darauf wird es wohl hinauslaufen) kommt in einer Mail mit dem Betreff
'ILOVEYOU' und enthaelt die Nachricht:

"kindly check the attached LOVELETTER coming from me."

Dieses Attachment (Dateianhang) besteht aus einer Datei namens
"LOVE-LETTER-FOR-YOU.TXT.vbs"

Wird diese aufgerufen (das kann bei Outlook und Outlook Express auch
ohne absichtliches Zutun des Benutzers passieren), wird unter
bestimmten Voraussetzungen eine Kette von Aktionen in Gang gesetzt.
Sind diese Voraussetzungen nicht erfuellt, passiert praktisch nichts.

Diese Voraussetzungen sind:
 - Windows-Rechner mit installierten Windows Scripting Host (WSH)
   WSH wird mit Windows 98 und 2000 ausgeliefert standardmaessig
   installiert, Windows 95 und NT koennen nachtraeglich damit
   ausgeruestet worden sein.
 - eine halbwegs aktuelle Version des Internet Explorers ist
   installiert (mind. v4.x)
 - der Benutzer hat Schreibrechte im Windows- und Windows/System-
   Verzeichnis (ist bei Windows 95/98 nahezu unvermeidlich)
 - keine Antivirus-Software, die das Virus erkennt (inzwischen sollten
   bei den meisten der bekannteren Hersteler Updates verfuegbar sein)

Was passiert dann?
Bei der angehaengten Datei handelt es sich um ein VBS-Programm (Visual
Basic Script), das vom WSH interpretiert und ausgefuehrt wird.
Das Virus veraendert zuerst den Registry-Schluessel

HKEY_CURRENT_USER\Software\Microsoft\Windows ScriptingHost
\Settings\Timeout

Dann erzeugt es einige Dateien ud Registry-Eintraege und laedt ueber
das Internet mind. eine weitere Datei herunter, wofuer es den Internet
Explorer benutzt.
Es finden sich schliesslich folgende Dateien:

Im Windows-Verzeichnis:
 Win32DLL.vbs

im Windows\System Verzeichnis:
 MSKernel32.vbs
 LOVE-LETTER-FOR-YOU.TXT.vbs

im Internet Download Verzeichnis:
 WinFAT32.EXE
 WIN-BUGSFIX.EXE (diese wird aus dem Web geladen)

Dateien mit den folgenden Erweiterungen werden mit dem Virus-Code
ueberschrieben: vbs, vbe, js, jse, css, wsh, sct, hta.
Dateien mit den Endungen jpg, jpeg, mp2 und mp3 werden geloescht
und mit dem Virus-Code ueberschrieben, wobei der neue Dateiname
sich durch ein angehaengtes '.vbs' von dem alten unterscheidet.
So wird aus meinfoto.jpg dadurch meinfoto.jpg.vbs, wobei es sich
nunmehr auch tatsaechlich um eine VBS-Datei handelt und nicht
mehr um ein JPEG-Bild. Die Bild- und Ton-Daten aus den genannten
Dateien sind praktisch nicht wieder herstellbar, wenn keine Backups
existieren.

Das Virus traegt die Dateien Win32DLL.vbs und MSKernel32.vbs in die
'Run' ud 'RnService' Schluessel der Registry ein, sodass diese beim
Windowsstart geladen werden.

Findet das Virus-Script auch noch die Programmdateien der Chatsoftware
mIRC, legt es in demselben Verzeichnis eine Datei script.ini an bzw.
ueberschreibt die vorhandene. Bei bestehender Online-Verbindung
uebertragt sich das Virus auf diesem Wege an alle IRC-User, die in
einem bestimmten Channel sind.

Schliesslich -- und das verursacht die meisten Probleme, gelinge
gesagt -- versendet es sich mit oben stehender Mail an alle Adressen
im E-Mail-Adressbuch von Outlook. Durch den dabei entstehenden Traffic
sind bereits eine Reihe von Mailsystemen praktisch zusammengebrochen.

Wie soll ich mich verhalten?
Oeffnen Sie keine Mails mit dem o.g. Betreff, fuehren Sie vor allem
nicht die angehaengte Datei aus. Wenn Sie sicher sind, dass auf
Ihrem Rechner die oben genannten Voraussetzungen nicht vorliegen,
lehnen Sie sich zurueck und entspannen Sie sich.

Haben Sie das Attachment aufgerufen und der Schaden ist eingetreten,
entfernen Sie mit regedit die Registry-Eintraege in den 'Run' und
'RunService' Schluesseln und loeschen Sie danach alle o.g. Dateien.
Lassen sich einige davon nicht loeschen, weil sie in Benutzung sind,
starten Sie den Rechner neu und booten Sie DOS. Unter Dos koennen Sie
auch die restlichen Dateien loeschen.


Infos der Antivirus-Hersteller:
 http://www.trendmicro.de/virinfo/akut.html (dt.)
 http://www.symantec.de/region/de/press/n000504a_de.html (dt.)
 http://vil.nai.com/villib/dispVirus.asp?virus_k=98617 (engl.)
 http://www.europe.datafellows.com/v-descs/love.htm (engl.)
 http://www.avp.ch
Aktuelle Infos: http://hoax-info.tubit.tu-berlin.de/virus/loveletter.shtml

Bis zur nächsten Ausgabe

Frank Ziemann, Herausgeber


Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.

Die Themen der nächsten Ausgaben:

(C) Copyright TU Berlin, Frank Ziemann, 1998-2000, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe (außer zum persönlichen Gebrauch), auch auszugsweise, bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt.
Ausnahmen:
Sie dürfen ohne besondere Einwilligung des Autors diesen Newsletter unverändert an einzelne Personen weiterleiten. Sie dürfen diesen Newsletter innerhalb Ihrer Organisation in unveränderter Form zur Information Ihrer User verwenden, in diesem Falle bitte ich nur um formlose Mitteilung.


Informieren Sie sich über sog. E-Mail-Viren:
hoax-info.de
Information ist das einzige Gegenmittel!


[Zurück zur Hoax-Seite] | [erschienene Newsletter-Ausgaben] [Seitenanfang]