ILOVEYOU-Wurm: Schock am Morgen
4. Mai 2000
Die Schweiz ist heute von einem Mail-Virus namens ILOVEYOU überrannt worden – auch unsere Redaktionen wurden überrascht. Der offenbar aus den Philippinen stammende Mail-Wurm steckt in einem Attachment einer E-Mail mit dem Betreff "ILOVEYOU", der Text lautet "kindly check the attached LOVELETTER coming from me." Wird das angehängte VB-Script-Programm LOVE-LETTER-FOR-YOU.TXT.vbs gestartet, sendet Outlook die Mail automatisch an alle Adressen weiter.
Damit wurden in Blitzeseile wahre Mail-Lawinen ausgelöst und Tausende von Mailservern lahmgelegt. Zudem werden sämtliche VBS-Dateien auf dem Rechner infiziert und JPG-Bilddateien überschrieben. Zur Zeit ist noch unklar, welche Mailsysteme genau betroffen sind; Microsoft Exchange zusammen mit Outlook kann jedoch auf befallen werden.
Der Virus legt mehrere Dateien in verschiedenen Verzeichnissen ab, die er zum Teil mittels Internet Explorer von einem von vier philippinischen Servern herunterlädt:
im Windows-Verzeichnis:
Win32DLL.vbs
im Windows\System-Verzeichnis:
MSKernel32.vbs
LOVE-LETTER-FOR-YOU.TXT.vbs
im Internet Download Verzeichnis:
WinFAT32.EXE
WIN-BUGSFIX.EXE
Im Programm-Verzeichnis von mIRC:
script.ini
Letztere dient der Verbreitung via IRC. Die beiden erstgenannten Files werden an den üblichen Stellen ('Run', 'RunServices') in die Registry eingetragen, so dass sie bei jedem Start von Windows geladen werden.
Der Loveletter-Virus verschickt sich automatisch an alle Adressen im Outlook-Adressbuch. Fatal in grossen Firmennetze: Da jeder das gleiche globale Adressbuch hat, verschickt der Exchange-Server irgendwann so grosse Mail-Mengen, dass der Server in die Knie geht.
Outlook-Nutzer sollten die Mail unbedingt ungeöffnet löschen. Zudem wird empfohlen, über die Browsereinstellungen Active Scripting zu deaktivieren, um die Mail ohne Gefahr zu markieren. Erst dann ist es laut Fachleuten wirklich ungefährlich, sie zu löschen.
Der Virus überschreibt Dateien der Typen vbs, vbe, js, jse, css, wsh, sct, hta mit dem eigenen VBS-Code und löscht Dateien der Typen mp2, mp3, jpg und jpeg. Letztere werden durch gleichnamige Dateien mit der neuen Endung .vbs überschrieben, die ebenfalls den Virus-Code enthalten, z.B. wird Bild.jpg zu Bild.jpg.vbs. Je nach Einstellung im Explorer soll das gar nicht unbedingt auffallen.
Ein uns bekannter Programmierer von weiter oben im Haus: "Loveletter ist gut programmiert – den würden wir sofort anstellen!" Auch gut: "ILOVEMAC" – Macs sind zwangsläufig immuner gegen die Virenpest. (mvb)
Damit wurden in Blitzeseile wahre Mail-Lawinen ausgelöst und Tausende von Mailservern lahmgelegt. Zudem werden sämtliche VBS-Dateien auf dem Rechner infiziert und JPG-Bilddateien überschrieben. Zur Zeit ist noch unklar, welche Mailsysteme genau betroffen sind; Microsoft Exchange zusammen mit Outlook kann jedoch auf befallen werden.
Der Virus legt mehrere Dateien in verschiedenen Verzeichnissen ab, die er zum Teil mittels Internet Explorer von einem von vier philippinischen Servern herunterlädt:
im Windows-Verzeichnis:
Win32DLL.vbs
im Windows\System-Verzeichnis:
MSKernel32.vbs
LOVE-LETTER-FOR-YOU.TXT.vbs
im Internet Download Verzeichnis:
WinFAT32.EXE
WIN-BUGSFIX.EXE
Im Programm-Verzeichnis von mIRC:
script.ini
Letztere dient der Verbreitung via IRC. Die beiden erstgenannten Files werden an den üblichen Stellen ('Run', 'RunServices') in die Registry eingetragen, so dass sie bei jedem Start von Windows geladen werden.
Der Loveletter-Virus verschickt sich automatisch an alle Adressen im Outlook-Adressbuch. Fatal in grossen Firmennetze: Da jeder das gleiche globale Adressbuch hat, verschickt der Exchange-Server irgendwann so grosse Mail-Mengen, dass der Server in die Knie geht.
Outlook-Nutzer sollten die Mail unbedingt ungeöffnet löschen. Zudem wird empfohlen, über die Browsereinstellungen Active Scripting zu deaktivieren, um die Mail ohne Gefahr zu markieren. Erst dann ist es laut Fachleuten wirklich ungefährlich, sie zu löschen.
Der Virus überschreibt Dateien der Typen vbs, vbe, js, jse, css, wsh, sct, hta mit dem eigenen VBS-Code und löscht Dateien der Typen mp2, mp3, jpg und jpeg. Letztere werden durch gleichnamige Dateien mit der neuen Endung .vbs überschrieben, die ebenfalls den Virus-Code enthalten, z.B. wird Bild.jpg zu Bild.jpg.vbs. Je nach Einstellung im Explorer soll das gar nicht unbedingt auffallen.
Ein uns bekannter Programmierer von weiter oben im Haus: "Loveletter ist gut programmiert – den würden wir sofort anstellen!" Auch gut: "ILOVEMAC" – Macs sind zwangsläufig immuner gegen die Virenpest. (mvb)
Weitere Artikel zum Thema
ILOVEYOU: Noch mehr Beobachtungen und Tips
4. Mai 2000 -Artikel kommentieren
