ILOVEYOU-Wurm: Schock am Morgen

4. Mai 2000

     

Die Schweiz ist heute von einem Mail-Virus namens ILOVEYOU überrannt worden – auch unsere Redaktionen wurden überrascht. Der offenbar aus den Philippinen stammende Mail-Wurm steckt in einem Attachment einer E-Mail mit dem Betreff "ILOVEYOU", der Text lautet "kindly check the attached LOVELETTER coming from me." Wird das angehängte VB-Script-Programm LOVE-LETTER-FOR-YOU.TXT.vbs gestartet, sendet Outlook die Mail automatisch an alle Adressen weiter.

Damit wurden in Blitzeseile wahre Mail-Lawinen ausgelöst und Tausende von Mailservern lahmgelegt. Zudem werden sämtliche VBS-Dateien auf dem Rechner infiziert und JPG-Bilddateien überschrieben. Zur Zeit ist noch unklar, welche Mailsysteme genau betroffen sind; Microsoft Exchange zusammen mit Outlook kann jedoch auf befallen werden.


Der Virus legt mehrere Dateien in verschiedenen Verzeichnissen ab, die er zum Teil mittels Internet Explorer von einem von vier philippinischen Servern herunterlädt:

im Windows-Verzeichnis:
Win32DLL.vbs

im Windows\System-Verzeichnis:
MSKernel32.vbs
LOVE-LETTER-FOR-YOU.TXT.vbs

im Internet Download Verzeichnis:
WinFAT32.EXE
WIN-BUGSFIX.EXE

Im Programm-Verzeichnis von mIRC:
script.ini

Letztere dient der Verbreitung via IRC. Die beiden erstgenannten Files werden an den üblichen Stellen ('Run', 'RunServices') in die Registry eingetragen, so dass sie bei jedem Start von Windows geladen werden.

Der Loveletter-Virus verschickt sich automatisch an alle Adressen im Outlook-Adressbuch. Fatal in grossen Firmennetze: Da jeder das gleiche globale Adressbuch hat, verschickt der Exchange-Server irgendwann so grosse Mail-Mengen, dass der Server in die Knie geht.

Outlook-Nutzer sollten die Mail unbedingt ungeöffnet löschen. Zudem wird empfohlen, über die Browsereinstellungen Active Scripting zu deaktivieren, um die Mail ohne Gefahr zu markieren. Erst dann ist es laut Fachleuten wirklich ungefährlich, sie zu löschen.

Der Virus überschreibt Dateien der Typen vbs, vbe, js, jse, css, wsh, sct, hta mit dem eigenen VBS-Code und löscht Dateien der Typen mp2, mp3, jpg und jpeg. Letztere werden durch gleichnamige Dateien mit der neuen Endung .vbs überschrieben, die ebenfalls den Virus-Code enthalten, z.B. wird Bild.jpg zu Bild.jpg.vbs. Je nach Einstellung im Explorer soll das gar nicht unbedingt auffallen.

Ein uns bekannter Programmierer von weiter oben im Haus: "Loveletter ist gut programmiert – den würden wir sofort anstellen!" Auch gut: "ILOVEMAC" – Macs sind zwangsläufig immuner gegen die Virenpest. (mvb)




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER