Wie bereits gestern berichtet, ist ein neuer VBS-Virus im Umlauf, der sich rasend schnell ausbreitet – schneller als Melissa aber langsamer als der berüchtigte Loveletter. Neben der bereits gestern beschriebenen Variante, die mit der Betreffzeile "Here you have ;o)" eintrifft, sind auch zwei weitere E-Mails mit dem Betreff "Here you are ;-)" und "Here you go ;-)" aufgetaucht. Wie schon beim Melissa-Virus, aber anders als beim Loveletter, verändert der Wurm keine Dateien auf den infizierten Systemen. Allerdings besteht die Gefahr, dass der neue Schädling die Mail-Server zum Kolabieren bringt.
Nach dem Ausführen des VBS-Attachment wird der folgende Registry-Schlüssel generiert: HKEY_CURRENT_USER\OnTheFly = "Worm made with Vbswg 1.50". Darauf verschickt sich die E-Mail inklusive Attachment an sämtliche Outlook-Adresseinträge. Eine weiterer Eintrag in der Registry sorgt aber dafür, dass der Massenversand nur einmal erfolgt. Bei den infizierten Systemen wird am 26. Januar 2002 der Web-Browser gestartet und mit einer unschuldigen holländischen Website verbunden.
Der Registry-Eintrag weist darauf hin, dass der Wurm mit dem Toolkit VBS Worm Generator entwickelt wurde, das im Internet kursiert. Demnach hatte der Autor keinen grossen Aufwand bei der Programmierung betrieben. Die grösste Gefahr könnte nun aber darin bestehen, dass neue, weit gefährlichere Varianten basierend auf dem Kournikova-Virus entwickelt werden.
Die Hersteller von Antiviren-Tools sind derzeit daran, ihre Bibliotheken aufzudatieren, damit der neue Kournikova-Virus erkannt wird. Die Herausforderung dabei: Die Viren-Datei wurde verschlüsselt, um den Tools die Entdeckung zu erschweren. Einige Produkte wie jene von
McAfee,
F-Secure und
Sophos erkennen den neuen Virus bereits. (IW)