Date sent: 04. Mai 2000 Subject: Hoax-Info-Newsletter Nr. 3/2000 Send reply to: E-Mail-Adresse |
Hoax-Info-Newsletter Nr. 3/2000 |
Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.
Bitte besuchen Sie auch die WWW-Seite
hoax-info.de
Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die 'Extra-Blätter', die aktuelle Hoaxes und Kettenbriefe behandeln, sowie auch reale Gefahren.
Fragen zu Hoaxes und Kettenbriefen richten Sie bitte nur an diese Adresse
VBS/Loveletter - Ein E-Mail-Wurm demonstriert, dass viele aus dem Melissa-Vorfall 1999 nichts gelernt haben. Seit heute morgen flutet ein Script-Virus nach dem spaetestens seit Melissa hinreichend bekannten Prinzip die Mailserver in aller Welt. Die ersten Meldungen kamen aus Asien und mit dem Lauf der Sonne sind am europaeischen Nachmittag inzwischen auch die U.S.A. in heller Aufruhr. Analyse ------- VBS/Loveletter (der Name ist zwar noch nicht offiziell 'durch', aber darauf wird es wohl hinauslaufen) kommt in einer Mail mit dem Betreff 'ILOVEYOU' und enthaelt die Nachricht: "kindly check the attached LOVELETTER coming from me." Dieses Attachment (Dateianhang) besteht aus einer Datei namens "LOVE-LETTER-FOR-YOU.TXT.vbs" Wird diese aufgerufen (das kann bei Outlook und Outlook Express auch ohne absichtliches Zutun des Benutzers passieren), wird unter bestimmten Voraussetzungen eine Kette von Aktionen in Gang gesetzt. Sind diese Voraussetzungen nicht erfuellt, passiert praktisch nichts. Diese Voraussetzungen sind: - Windows-Rechner mit installierten Windows Scripting Host (WSH) WSH wird mit Windows 98 und 2000 ausgeliefert standardmaessig installiert, Windows 95 und NT koennen nachtraeglich damit ausgeruestet worden sein. - eine halbwegs aktuelle Version des Internet Explorers ist installiert (mind. v4.x) - der Benutzer hat Schreibrechte im Windows- und Windows/System- Verzeichnis (ist bei Windows 95/98 nahezu unvermeidlich) - keine Antivirus-Software, die das Virus erkennt (inzwischen sollten bei den meisten der bekannteren Hersteler Updates verfuegbar sein) Was passiert dann? Bei der angehaengten Datei handelt es sich um ein VBS-Programm (Visual Basic Script), das vom WSH interpretiert und ausgefuehrt wird. Das Virus veraendert zuerst den Registry-Schluessel HKEY_CURRENT_USER\Software\Microsoft\Windows ScriptingHost \Settings\Timeout Dann erzeugt es einige Dateien ud Registry-Eintraege und laedt ueber das Internet mind. eine weitere Datei herunter, wofuer es den Internet Explorer benutzt. Es finden sich schliesslich folgende Dateien: Im Windows-Verzeichnis: Win32DLL.vbs im Windows\System Verzeichnis: MSKernel32.vbs LOVE-LETTER-FOR-YOU.TXT.vbs im Internet Download Verzeichnis: WinFAT32.EXE WIN-BUGSFIX.EXE (diese wird aus dem Web geladen) Dateien mit den folgenden Erweiterungen werden mit dem Virus-Code ueberschrieben: vbs, vbe, js, jse, css, wsh, sct, hta. Dateien mit den Endungen jpg, jpeg, mp2 und mp3 werden geloescht und mit dem Virus-Code ueberschrieben, wobei der neue Dateiname sich durch ein angehaengtes '.vbs' von dem alten unterscheidet. So wird aus meinfoto.jpg dadurch meinfoto.jpg.vbs, wobei es sich nunmehr auch tatsaechlich um eine VBS-Datei handelt und nicht mehr um ein JPEG-Bild. Die Bild- und Ton-Daten aus den genannten Dateien sind praktisch nicht wieder herstellbar, wenn keine Backups existieren. Das Virus traegt die Dateien Win32DLL.vbs und MSKernel32.vbs in die 'Run' ud 'RnService' Schluessel der Registry ein, sodass diese beim Windowsstart geladen werden. Findet das Virus-Script auch noch die Programmdateien der Chatsoftware mIRC, legt es in demselben Verzeichnis eine Datei script.ini an bzw. ueberschreibt die vorhandene. Bei bestehender Online-Verbindung uebertragt sich das Virus auf diesem Wege an alle IRC-User, die in einem bestimmten Channel sind. Schliesslich -- und das verursacht die meisten Probleme, gelinge gesagt -- versendet es sich mit oben stehender Mail an alle Adressen im E-Mail-Adressbuch von Outlook. Durch den dabei entstehenden Traffic sind bereits eine Reihe von Mailsystemen praktisch zusammengebrochen. Wie soll ich mich verhalten? Oeffnen Sie keine Mails mit dem o.g. Betreff, fuehren Sie vor allem nicht die angehaengte Datei aus. Wenn Sie sicher sind, dass auf Ihrem Rechner die oben genannten Voraussetzungen nicht vorliegen, lehnen Sie sich zurueck und entspannen Sie sich. Haben Sie das Attachment aufgerufen und der Schaden ist eingetreten, entfernen Sie mit regedit die Registry-Eintraege in den 'Run' und 'RunService' Schluesseln und loeschen Sie danach alle o.g. Dateien. Lassen sich einige davon nicht loeschen, weil sie in Benutzung sind, starten Sie den Rechner neu und booten Sie DOS. Unter Dos koennen Sie auch die restlichen Dateien loeschen. Infos der Antivirus-Hersteller: http://www.trendmicro.de/virinfo/akut.html (dt.) http://www.symantec.de/region/de/press/n000504a_de.html (dt.) http://vil.nai.com/villib/dispVirus.asp?virus_k=98617 (engl.) http://www.europe.datafellows.com/v-descs/love.htm (engl.) http://www.avp.chAktuelle Infos: http://hoax-info.tubit.tu-berlin.de/virus/loveletter.shtml
Bis zur nächsten Ausgabe
Frank Ziemann, Herausgeber
Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.
Die Themen der nächsten Ausgaben:
(C) Copyright TU Berlin, Frank Ziemann, 1998-2000, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe
(außer zum persönlichen Gebrauch), auch auszugsweise,
bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt.
Ausnahmen:
Sie dürfen ohne besondere Einwilligung des Autors diesen
Newsletter unverändert an einzelne Personen weiterleiten.
Sie dürfen diesen Newsletter innerhalb Ihrer Organisation in
unveränderter Form zur Information Ihrer User verwenden, in
diesem Falle bitte ich nur um formlose Mitteilung.
Informieren Sie sich über sog. E-Mail-Viren:
hoax-info.de
Information ist das einzige Gegenmittel!