Extra-Blatt

Internet-Wurm VBS/Freelinks

Noch ein Wurm, der E-Mails verschickt

Diesmal ist es ein Wurm, der in VBS (Visual Basic Script) geschrieben wurde. Er setzt den Windows Scripting Host (WSH) voraus, der bei Windows 98 und 2000 standardmäßig installiert wird.
Freelinks wurde in Europa bereits in 'freier Wildbahn' gesichtet.

• Windows 2000, wenn WSH installiert wurde (Voreinstellung)
• Windows 98, wenn WSH installiert wurde (Voreinstellung)
• Windows 95 (wenn WSH nachträglich installiert wurde)
• Windows NT 4 (wenn WSH nachträglich installiert wurde)

• MS Outlook
• mIRC (mirc32.exe, Chat-Programm)
• PIRCH98 (Chat-Programm)

Freelinks kommt per E-Mail oder IRC herein. Die E-Mails haben als Subject (Betreff)

und die Nachricht lautet:

Die Mail enthält ein Attachment (Anhang) namens links.vbs, das nach Aufruf eine verschlüsselte Datei C:\Windows\System\Rundll.vbs ablegt. Dann wird ein Registry-Eintrag erzeugt, der dafür sorgt, daß Freelinks stets beim Starten von Windows aufgerufen wird.

Beim Starten von Windows erscheint eine Dialog-Box mit der Meldung:

This will add a shortcut to free XXX links on your desktop.
Do you want to continue?

Bestätigt man dieses, legt Freelinks eine Verknüpfung auf dem Desktop an, die den Namen "FREE XXX LINKS" trägt. Sie weist auf eine WWW-Seite mit Links auf weitere Seiten mit 'nackten Tatsachen'.

Freelinks durchsucht die Netzwerkumgebung nach Freigaben und kopiert sich ggf. in deren Wurzel. Freelinks versendet sich via Outlook an alle Adressen in allen Adressbüchern. Dabei löscht er die Einträge im Ordner 'gesendete Objekte', um den Mail-Versand zu verbergen.

Ferner durchsucht er die Festplatte nach der Datei mirc32.exe und überschreibt ggf. die Datei script.ini im mIRC-Verzeichnis (C:\MIRC\) mit einer Version, die automatisch den Wurm im IRC verteilt, sobald ein Channel betreten wird.
Ähnlich verfährt er mit PIRCH98 (in C:\PIRCH98\), wo die Datei events.ini ersetzt wird.

Updates für Ihre Antivirus-Software dürften spätestens im Laufe der 27. Kw. verfügbar sein.