Extra-Blatt

Internet-Wurm VBS/Monopoly

Schon wieder ein Wurm, der E-Mails verschickt

Auch diesmal ist es ein Wurm, der in VBS (Visual Basic Script) geschrieben wurde. Er setzt den Windows Scripting Host (WSH) voraus, der bei Windows 98 und 2000 standardmäßig installiert wird.
VBS/Monopoly wurde noch nicht 'freier Wildbahn' gesichtet. Es ist kein Hoax, auch wenn es eine Art Scherz enthält

Betroffene Systeme:

Windows 2000, wenn WSH installiert wurde (Voreinstellung)
Windows 98, wenn WSH installiert wurde (Voreinstellung)
Windows 95 (wenn WSH nachträglich installiert wurde)
Windows NT 4 (wenn WSH nachträglich installiert wurde)

MS Outlook

Monopoly kommt per E-Mail. Die E-Mails haben als Subject (Betreff)

Bill Gates joke

und die Nachricht lautet:

Bill Gates is guilty of monopoly.
Here is the proof. :-)

Die Mail enthält ein Attachment (Anhang) namens MONOPOLY.VBS, das nach Aufruf in Ihrem TEMP-Verzeichnis eine JPEG-Datei MONOPOLY.JPG sowie zwei weitere, MONOPOLY.WSH und MONOPOLY.VBE ablegt. Die VBE-Datei enthält den verschüsselten VBS-Code und wird mit der WSH-Datei aufgerufen.
Es erscheint eine Dialog-Box mit dem Text aus der E-Mail, dann wird das JPEG-Bild angezeigt.

VBS/Monopoly versendet sich selbst an alle Adressaten im Outlook-Adressbuch. Ferner versendet es persönliche Daten und Systeminformationen an mehrere E-Mail-Adressen. Es wird ein Registry-Eintrag generiert, der verhindert, dass VBS/Monopoly ein zweites Mal auf demselben Rechner aktiv wird:

HKEY_LOCAL_MACHINE\Software\OUTLOOK.Monopoly\ = "True"

Dies kann auch verwendet werden, um einen noch nicht befallenen Rechner zu schützen.

Updates für Ihre Antivirus-Software dürften spätestens im Laufe der 31. Kw. verfügbar sein.

Original-Info:

AVP (engl.)
Data Fellows (engl., identisch mit AVP-Text)
Sophos Antivirus (engl.)

Presse:

GNN Golem Network News (dt.)

zurück zur Hoax-Seite