Fünf neue Love-Bug-Varianten im Umlauf

Nach den Schäden, die der E-Mail-Wurm ‚ILOVEYOU‘ in aller Welt angerichtet hat, warnen Sicherheitsexperten jetzt vor den Nachahmern. Laut Friederike Rieg von Symantec sind am Freitag bereits fünf neue Varianten im Umlauf. Zwar sollen einige davon nicht ganz so gefährlich sein, weil die Nachahmer die Würmer so schlecht programmiert haben, dass sie nicht richtig laufen. Aber die Virenhersteller bieten jetzt auch Updates gegen die neuen Varianten wie Susitikim und Mother´s Day an.

„Unsere Techniker konnten feststellen, dass der Urheber im März angefangen hat, an dem Viren-Code zu arbeiten“, so Rieg. Mittlerweile hat der philippinische Provider Accessnet verlauten lassen, der Urheber des Wurms sei ein 23-Jähriger, der fremde Pre-Paid-Karten und E-Mail-Accounts für seine Zwecke nutze. Er soll in einem mittelständisch geprägten Vorort von Manila leben. Accessnet bietet E-Mail-Accounts über Pre-Paid-Karten an. Die Techniker des Providers vermuten, dass sich der Hacker auch noch Zugang zu Mail-Konten Dritter verschafft hat. Durch die Zusammenarbeit der verschiedenen Provider mit der internationalen und lokalen Polizei erhoffen sich alle Beteiligten schnelle Ergebnisse.

Mcafee bietet mittlerweile die Möglichkeit, sein System per „scan now“ untersuchen zu lassen und gegebenenfalls auf dem Rechner gespeicherte .vbs-Dateien zu entfernen.

Laut Cert Advisory kann man sich den Virus nicht nur über E-Mail, sondern auch via IRC, Usenet newsgroups oder durch Doppelklicken auf ein infiziertes File in einem shared-Ordner holen. Bereits bestehende vbs- und vbe-Files werden in eine Kopie des Wurms abgeändert. Files mit der Endung „.js“, „.jse“, „.css“, „.wsh“, „.sct“ oder „.hta“ überschreibt der Virus mit sich selbst. „.jpg“-Dateien werden ebenfalls mit dem Wurm überschrieben, so dass sie dann Datei.jpg.vbs heißen. Die Namen von MP3s und MP2s werden zwar wie bei „.jpg“ geändert, in diesem Fall bleibt aber das Original versteckt erhalten.

Wer im IRC unterwegs ist, sollte nachsehen, ob auf seinem Rechner ein mIRC-script-file existiert, denn es wurde von dem Virus erstellt. Immer, wenn der User einen IRC-Channel aufsucht, sendet das Script den Wurm über DCC an andere. Zudem ändert der Virus die Startseite des Internet Explorers und versucht, Daten aus dem Internet von einer mittlerweile gesperrten Site zu laden. Schließlich versendet er sich selbst an alle Einträge, die er im Outlook-Adressbuch finden kann und ändert drei HKLM und drei HKCU-Registry-Einträge.

Cert empfiehlt daher, das Virus-Programm upzudaten, Windows Scirpting Host auszuschalten (www.sophos.com/…), ebenso wie Active Scripting (www.cert.org/…) und Auto-DCC bei IRC-Clients. E-Mails sollten auf spezielle Dateianhänge hin gefiltert werden.

Vom Love-Bug waren nicht nur große Unternehmen betroffen, sondern auch die PCs des Weißen Hauses, der CIA und des US-Außenministeriums.

ZDNet berichtet in einem laufend aktualisierten News Report zu ‚ILOVEYOU‘ über die weitere Entwicklung und stellt neben Grundlagenwissen auch Links zu Virenschutz-Anbietern bereit.

Kontakt:
Symantec, Tel.: 02102/74530
Network Associates, Tel.: 089/37070