"I Love You"-Virus breitet sich aus
Ein neuer Wurm ist gerade dabei, Deutschland, Österreich und die Schweiz zu verwüsten. Die Mails tragen im Subject die Buchgstabenfolge "ILOVEYOU", das gefährliche Attachment ist in VB Script geschrieben und trägt den Titel "love-letter-for-you.txt.vbs".
Je nach verwendetem Mailer kann dies auch auch als ".txt" dargestellt werden.
Der Wurm ist hoch infektiös, er versucht, sich an alle Adressen in Microsoft Outlook zu verbreiten.
Zahllose Mailserver in Österreich sind bereits down, besonders arge Schäden werden vor allem aus Institutionen gemeldet, die üblicherweise standardisiert mit Microsoft-Produkten wie Outlook und Internet Explorer ausgerüstet sind.
Explosionsartige Verbreitung
Meldungen über das Auftauchen von ILOVEYOU kommen aus so gut wie
allen Netzwerken, sagt Joe Pichlmayr vom Softwarehaus Ikarus. Seit
Melissa habe es eine so extrem schnelle Verbreitung nicht mehr
gegeben.
Patch von IkarusMP3, MP2, JPG und JPEG tot
Als erster Virus befällt er auch MP3-, MP2- und JPG- und JPEG-Dateien, die es in VBS-Dateien umwandelt. Der ursprüngliche Inhalt der Dateien wird dabei entweder zerstört, oder die ursprünglichen Daten werden verborgen.
Der Virus infiziert auch eine Vielzahl von unterschiedlichen Dateitypen, in denen es seinen vollständigen Code ablegt. Es sind dies VBS-, VBE-, JS-, JSE-, CSS-, WSH-, SCT-, und HTA-Dateien.
Weiters versucht "I Love You" über den Internet Explorer eine Datei von einem auf den Philippinen stationierten Server herunterzuladen.
Inzwischen hat sich herausgestellt, dass diese .exe ein so genanntes "Trojanisches Pferd" ist, das Dritten Kontrolle über den infizierten Rechner gibt.
Patch von AVPEintragung in der Registry
Der Virus ändert im großen Umfang die Registry. Folgende zwei Änderungen sind besonders wichtig, da die Dateien MSKernel32.vbs und Win32DLL.vbs den Viruscode enthalten und dadurch bei jedem Neustart des Computers ausgeführt werden:
regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run\MSKernel32",
dirsystem&"\MSKernel32.vbs" regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices\Win32DLL",dirwin&"\Win32DLL.vb s"
Schäden in Deutschland
Günter Mußtopf vom Antiviren-Verlag Percomp in Hamburg sagte, in Deutschland seien mindestens drei große Unternehmens-Kunden mit mehr als 50.000 Computern betroffen. Es gebe auch entsprechende Informationen aus der Schweiz, der E-Mail-Virus habe sich international in Windeseile verbreitet.