Seit der ‚ILOVEYOU‘-Virus am Donnerstag vergangener Woche in Asien gestartet ist, versetzt er die Microsoft-PC-Welt in Angst und Schrecken. Nachahmer waren fleißig und haben bisher 14 Varianten gebastelt. ZDNet führt sie hier in einer Übersicht auf. Die Hersteller von Antiviren-Software raten: Ungeöffnet löschen.
- VBS.LoveLetter.A
ANHANG: LOVE-LETTER-FOR-YOU.TXT.vbs
BETREFF: ILOVEYOU
TEXTFELD: kindly check the attached LOVELETTER coming from me.
- VBS.LoveLetter.B (Litauisch)
ANHANG: LOVE-LETTER-FOR-YOU.TXT.vbs
BETREFF: Susitikim shi vakara kavos puodukui…
TEXTFELD: kindly check the attached LOVELETTER coming from me.
- VBS.LoveLetter.C (Very Funny)
ANHANG: Very Funny.vbs
BETREFF: fwd: Joke
TEXTFELD: leer
(siehe auch „Neue Variante von ‚ILOVEYOU‘ aufgetaucht„)
- VBS.LoveLetter.D (auch als BugFix bekannt)
ANHANG: LOVE-LETTER-FOR-YOU.TXT.vbs
BETREFF: ILOVEYOU
TEXTFELD: kindly check the attached LOVELETTER coming from me.
BEMERKUNG: Trägt sich in der Registry mit WIN- -BUGSFIX.exe anstelle von WIN-BUGSFIX.exe ein.
- VBS.LoveLetter.E (Muttertag)
ANHANG: mothersday.vbs
BETREFF: Mothers Day Order Confirmation
TEXTFELD: We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com
BEMERKUNG: Der Muttertags-Wurm wird auch über IRC versandt und ändert die Startseite in Hackers.com, l0pht.com oder 2600.com.
(siehe auch „Muttertags-Mutant des Wurms„)
- VBS.LoveLetter.F (Viren Warnung)
Norton AntiVirus nennt ihn: VBS.LoveLetter.Variant.F
ANHANG: virus_warning.jpg.vbs
BETREFF: Dangerous Virus Warning
TEXTFELD: There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it.
- VBS.LoveLetter.G (Virus ALERT!!!)
(Norton AntiVirus nennt ihn: VBS.LoveLetter.Variant oder VBS.LoveLetter.G)
ANHANG: protect.vbs
BETREFF: Virus ALERT!!!
TEXTFELD: ein langer Text über VBS.LoveLetter.A
BEMERKUNG: Der Absender ist gefälscht als „support@symantec.com“. Diese Variante überschreibt auch „.bat“ und „.com“-Dateien.
- VBS.LoveLetter.H (No Comments)
ANHANG: LOVE-LETTER-FOR-YOU.TXT.vbs
BETREFF: ILOVEYOU
TEXTFELD: kindly check the attached LOVELETTER coming from me.
BEMERKUNG: die Zeilen mit Kommentaren zu Beginn des Wurm-Codes wurden entfernt.
- VBS.LoveLetter.I (Important! Read carefully!!)
ANHANG: Important.TXT.vbs
BETREFF: Important! Read carefully!!
TEXTFELD: Check the attached IMPORTANT coming from me!
BEMERKUNG: Zu Beginn des Wurm-Codes wurden neue Kommentar-Zeilen eingesetzt, die von Brainstorm / @Electronic Souls stammen. Der Virus kopiert die Dateien ESKernel32.vbs und EX32Dll.vbs auf den infizierten Rechner. Die Kommentare im MIRC-Script beziehen sich ebenfalls auf Brainstorm und Electronicsouls. Das Script sendet „Important.htm“-Fils in Chat-Räume.
- VBS.LoveLetter.J
BEMERKUNG: Erscheint als leichte Modifikation der G-Variante, die als gefälschte Symantec-Viren-Warnung auftritt.
- VBS.LoveLetter.K
BEMERKUNG: wird noch untersucht.
- VBS.LoveLetter.L (I Can’t Believe This!!!)
ANHANG: KillEmAll.TXT.VBS
BETREFF: I Can’t Believe This!!!
TEXTFELD: I Can’t Believe I have Just Received This Hate Email .. Take A Look!
BEMERKUNG: Im Kommentar steht die Wortfolge: „Killer, by Mephiston“, er überschreibt „.gif“ und „.bmp“-Dateien (anstelle wie das Original „.jpg“s. Versteckt werden „.wav“- und „.mid“-Files (nicht „.mp3“- und „mp2“-Dateien wie beim Original). IRC-User sind von dieser Variante nicht betroffen. Kopiert die Dateien „Kiler.htm“, „Killer2.vbs“ und „Killer1.vbs“ auf die Festplatte.
- VBS.LoveLetter.M (Arab Airlines)
BEMERKUNG: Empfänger werden gebeten, eine Rechnung über ein Flugticket zu prüfen.
- VBS.LoveLetter.N (Bewerbung)
ANHANG: BEWERBUNG.TXT.vbs
BETREFF: Bewerbung Kreolina
TEXTFELD: Sehr geehrte Damen und Herren!
(siehe auch „Deutsche Variante des Loveletters„)
- VBS.LoveLetter. (LOOK)
ANHANG: LOOK.vbs
BETREFF: LOOK
TEXTFELD: „hehe…check this out“
- VBS.LoveLetter. (Friend)
ANHANG: FRIEND_MESSAGE.TXT.vbs
BETREFF: Friend Message
TEXTFELD: „“A real friend send this message to you“
- VBS.LoveLetter. (Vir-Killer)
ANHANG: Vir-Killer.vbs
BETREFF: „Yeah, Yeah, another time to DEATH…“
TEXTFELD: „This is the Killer for VBS.LOVE-LETTER.WORM.“
ZDNet berichtet in einem laufend aktualisierten News Report zu ‚ILOVEYOU‘ über die weitere Entwicklung und stellt neben Grundlagenwissen auch Links zu Virenschutz-Anbietern bereit.
Kontakt:
Symantec, Tel.: 02102/74530
Network Associates, Tel.: 089/37070