Virus tarnt sich als Virenwarnung
Die Antivirusfirmen warnen vor dem Virus "VBS.Hard". Der Wurm verbreitet sich über Outlook und tarnt sich gemeinerweise als vermeintliche Virenwarnung von Symantec.
Symantec kennt den Wurm auch als "VBS/Hard-A" und "VBS/Hard@mm". Im Betreff der Mail wird bei der aktuellen Erscheinungsform eine weitergeleitete Virenwarnung von Symantec suggeriert: "FW: Symantec Anti-Virus Warning".
Der Text der infizierten Mail kündigt eine Beschreibung eines Virus an. Der Versuch, als "Symantec" aufzutreten, gipfelt in der Unterschrift: "With regards, F. Jones, Symantec senior developer".
Wird das Attachement ausgeführt, kopiert sich der Wurm in das Verzeichnis C:\\www.symantec.com.vbs. Außerdem versucht er lokal eine gefälschte Symantec-Webseite zu erstellen, indem er die Klassen-ID [CLSID] {3050F4D8-98B5-11CF-BB82-00AA00BDCE0B} referenziert. Diese CLSID gehört zum Dateityp HTML Applications [HTA]. Der Wurm bringt Hilfsdateien mit, die er für die Erstellung der Seite nutzt. Funktioniert der Versuch, wird auf der Seite vor einem nicht existierenden Virus VBS.AmericanHistoryX_II@mm gewarnt. Danach verschickt sich der Wurm an alle im Outlook-Adressbuch zu findenden Dateien.
VBS.HardTarnung ist alles
Die meisten Antivirenhersteller haben ihre Signaturen bereits auf den neusten Stand gebracht.
Obwohl derzeit nur wenig verbreitet, wird dem Wurm wegen der relativ raffinierten Tarnung ein hohes Verteilungspotenzial zugesprochen.