zurück zum netNewsLetter-Archiv

> 04.05.2000 < Ausgabe 18a/2000

Top News Online

Die größte Virus-Attacke, die das Internet erlebt hat

Seit dem Mittag erhalten wir am laufenden Band eMails mit dem netten Betreff: "I love you". Leider stammt die Mail aber nicht von einem bestimmten Urheber sondern verschickt sich selbst weiter - ein waschechter Virus also. Der einmal mehr nur auf Windows-Maschinen "losgeht", Macs sind nicht von der Ich-liebe-Dich-Attacke betroffen. Offenbar haben Microsoft und die Lufthansa bereits auf den Mailsturm reagiert und ihre Mailserver abgeschaltet und überprüft.

Unser Virenexperte Toralv Dirro von Network Associates kannte den Virus bereits. Er sei aus Großbritannien heute morgen zu uns herüber geschwappt, offenbar ist er in Manila (Philippinen) zum ersten Mal aufgetaucht.

  • Wirkung: Der I-love-you-Virus ersetzt vorhandene Dateien durch sich selbst: Er zerstört prinzipiell MP3-, JPG-/JEPG- u.a. ähnliche Dateien indem er sie um seine .vbs-Informationen erweitert. Somit infiziert er jede Datei, die bei jedem Austausch weitergegeben wird. Einmal aktiviert lädt I-love-you zudem selbständig einen Trojaner aus dem Netz (win-bugsfix.exe), der darauf aus ist, sich Passwörter zu merken. Ob er sich auf bestimmte Passwörter spezialisiert, ist noch nicht bekannt. Dem Ursprungsort der Downloadseite versuchten wir leider ergebnislos auf die Spur zu kommen. Auch ein IRC-Chat, der den mIRC-Client nutzt, kann betroffen sein: Laut TrendMicro verändert der Virus die script.ini-Datei und stößt eine "Direct Chat Connection" an. So schickt er sich an alle Chatter weiter!

  • Verbreitung: Der I-love-you-Virus verschickt sich, wie im Schneeballsystem, selbständig nach dem Öffnen an alle im Adressbuch gespeicherten Nutzer! Beim erneuten Hochfahren des PC ändert er die Windows-Registry-Dateien derart, dass sie "zu seinen veränderten Bedingungen" starten.
    Solange der Anhang "LOVE-LETTER-FOR-YOU.TXT.vbs" nicht geöffnet wird, dürfte auch nichts passieren. Erste Blocker sind aber bereits online verfügbar.

  • Gegenmittel: Eigentlich gibt es keines (oder Sie kaufen sich einen Mac...) Sollten die Dateien angegriffen sein und schon im .vbs-Format auftauchen, gibt es, laut Dirro, keine Möglichkeit, sie zu reparieren.

  • Demontage: Um den Virus zu entfernen müssen zunächst folgende Dateien im Windows-Verzeichnis gelöscht werden:
           C:\windows\system\mskernel32.vbs
           C:\windows\Win32dll.vbs
           C:\windows\system\love-letter-for-you.txt.vbs
    Sollten Sie auf die winFAT32.exe-Datei stoßen - bitte ebenfalls entfernen.
    In der Registry müssen Sie zudem nach .vbs-Dateien suchen und entfernen, allerdings nur unter: hkey_local_machine\software\microsoft\windows\currentversion\ run\ -> (mskernel32.vbs)
    hkey_local_machine\software\microsoft\windows\currentversion\ runservices\ -> (win32dll.vbs)
    Wenn Sie die mIRC-Software nutzen, muss hier ebenfalls die script.ini samt C:\windows\system\love-letter-for-you.htm gelöscht werden.
    Wenn Sie noch auf weitere 11 k-große .vbs-Dateien stoßen - am besten ab in den Papierkorb.

    Also am besten: Finger weg von der Mail und sofort ins digitale Nirwana damit.
    P.S.: Auch uns hat es leider erwischt. Unser Chef haucht nun ab sofort täglich seinem Mac in die Lautsprecher: I love you.

    ++ ++ Die neueste Anti-Viren-Software
    * http://update.drsolomon.de/
    * http://213.198.25.58/virinfo/akut.html

    ++ Hier bekommen Sie die Treiber, um den Virus aufzuspüren
    * ftp://ftp.drsolomon.de/pub/drivers/lovelett/

  • Zurück zum Anfang der Seite

    netNewsLetter intern

    Impressum

    v.i.S.d.P: Thomas Aigner
    Mitarbeit: Doris Bimmer
    Claudia Golombek
    HTML-Umsetzung:Sebastian Tuke
      

    Der "netNewsLetter" ist ein kostenloser Service der

      AME Aigner Media & Entertainment ®
      Truderinger Straße 302
      D-81825 München
      Tel: [+49] 089-427 05-0
      Fax: [+49] 089-427 05-400

    Der Abdruck ist nur mit Quellenangabe gestattet!

    Surfen Sie gut!