Hallo Leute!
Falls ihr eine E-Mail mit folgender Datei bekommt, so dürft ihr
diese auf gar keinen Fall öffnen: LOVE-LETTER-FOR-YOU.TXT.vbs
Es wird u.a. die Registry verändert, JPG- u. VBS-Dateien gelöscht.
Wer hat mit diesem Ding schon Erfahrungen gesammelt?
(Anonym) Nachtrag zu: „VIRENALARM bei "LOVE-LETTER-FOR-YOU.TXT.vbs"-Datei“
is bächtig möse, das teil!
I.V. Holtzman (Anonym) „VIRENALARM bei "LOVE-LETTER-FOR-YOU.TXT.vbs"-Datei“
Moin!
Mal ne ganz blöde Frage:
Was muß ich tun, um jede Woche fünfzehn (oder so) solche Mails zu bekommen? Ich diskutiere im UseNet und auf 2 Millionen Messageboards mit, aber hatte bis jetzt noch nie so eine Mail... Lucky me?
Sniper (Anonym) „VIRENALARM bei "LOVE-LETTER-FOR-YOU.TXT.vbs"-Datei“
Leider keine Erfahrung, bin dem Ding entgangen. Aber einige Info´s über den Kleinen:
Warnung vor ILOVEYOU-Mail
(ZDNet Deutschland) - Seit heute Vormittag macht eine E-Mail die Runde, die im Attatchment einen Wurm mit sich führt und sich rasend schnell verbreitet. Auch ICQ-Benutzer sind betroffen. Wer elektronische Post mit dem Betreff ILOVEYOU und dem Text "kindly check the attached LOVELETTER coming from me" erhält, sollte sie ungelesen löschen, da die Virenprogramme den neuen Code noch nicht erkennen. Mittlerweile bietet Trend Micro unter 213.198.25.58/... ein erstes Update seines Security-Programms.
Der angebliche Liebesbrief ist bei genauerer Betrachtung ein Visual
Basic-Skript und verändert die Registry-Einträge für Kernel32, das heißt er überschreibt die Win32.dll, die bei jedem Boot ausgeführt wird. Zudem ändert der Wurm alle Dateien mit den Endungen vbs, vbe, js, jse, css, wsh, sct, hta, jpg, jpeg, mp3, und mp2. Ins System werden eingebaut:
MSKernel32.vbs in der Windows System directory, Win32DLL.vbs in the
Windows directory, LOVE-LETTER-FOR-YOU.TXT.vbs in der Windows System
directory, WinFAT32.EXE in der Internet download directory,
WIN-BUGSFIX.EXE in der Internet download directory und script.ini in der mIRC directory.
Außerdem ändert er die Startseite des Browsers so, dass eine ".exe"-Datei namens "WIN-BUGSFIX.exe" heruntergeladen wird. Der Provider, auf dessen Site die "WIN-BUGSFIX.exe" gehostet wird, hat die Datei inszwischen vom Netz genommen. Zudem wird bei Outlook das Adressbuch durchkämmt und eine Mail mit dem Trojaner an alle Mailadressen verschickt. Weil bei großen Firmennetzwerken jeder das gleiche globale Adressbuch hat, verschickt der Exchange-Server irgendwann so große Mengen an Mails, dass der Server in die Knie geht.
Besonders betroffen sind wieder einmal Nutzer von Outlook, da sich Outlook über Active Scripting steuern lässt. Deshalb ist es für Outlook-Nutzer wichtig, die Mail ungeöffnet zu löschen. Wer die Mail erhalten hat, sollte über die Browsereinstellungen Active Scritping deaktivieren, bevor er die Mail ohne Gefahr markieren kann. Erst dann ist es ungefährlich, sie zu löschen. Man sollte weder die Mail öffnen noch das Anhängsel doppelklicken.
Der Virus hat heute innerhalb von zwei Stunden die Mailserver von
zahlreichen großen deutschen Konzerne wie Microsoft, Siemens, SAP, sowie von Hamburger Verlagshäusern und zahlreichen Banken lahmgelegt.
Also vorsichtig beim Mails lesen.
Ronin (Anonym) „VIRENALARM bei "LOVE-LETTER-FOR-YOU.TXT.vbs"-Datei“
Hi,
habe gerade 4 Stunden mit dem Ding beim Kunden zugebracht - simpel, umgeht aber jede Sicherheitsmaßnahme und ist extrem effektiv !
Macht folgendes :
1) Liest das Windows-Adress-Book aus (wird z.B. von Outlook benutzt) und schickt sich selbst an jede aufgeführte Adresse.
2) Löscht alle *.MP2, *.MP3, *.JPG, *.JPEG und jede *.VBS, *.VBE, benutzt aber deren Dateinamen, um sich selber breit zu machen. Die Dateien sind leicht daran zu erkennen, das sie 11 KB groß sind und eine Endung in der Art von .jpg.vbs haben. Kann man einfach alle löschen. Ich würde jede .VBS-Datei auf dem System killen.
3) Macht mehrere Einträge in der Registry, z.B. wird die Startseite des Internet-Explorers festgelegt, es gibt 4 verschiedene Adressen. Dort wird dann ein Programm names WIN-BUGSFIX.EXE geladen/gestartet. Weitere Einträge gehen dahin, das unter Local_Machine\Software\Microsoft\Windows\Current in den RUN-Schlüsseln VBS-Scripte hinterlegt werden - raus damit. Einfach mal in LOVE-LETTER.vbs reingucken (nicht starten !), dann sieht man, was gemacht wird.
Soweit die größten Teile, Abhilfe ist einfach :
Den Windows-Scripting-Host löschen. Steht bei Win9X unter \WINDOWS, heißt wscript.exe
Unter NT findet man die Datei unter \WINNT\SYSTEM32, heißt genauso.
Weiterhin sollte man alle *.VBS und *.VBE-Dateien löschen, wenn Sie oben genannte Symptome aufweisen.
Ist, dank der Dateiauswahl (JPG,MPs usw), wohl eher als "harmlos" einzustufen, da im Normalfall nur Grafiken von der Zerstörung betroffen sind. Zeigt aber sehr deutlich, wie simpel man jedes Sicherheitskonzept umgehen kann. Das auf die Idee mit VBS noch keiner gekommen ist ? Allerdings ist zu befürchten, das die Dinger demnächst in 20 Millionen Variationen auf uns niederkommen. Wie gesagt : Am besten den Scripting-Host löschen, dann kann nicht viel passieren.
Bye,
Ronin
Indio (Anonym) „VIRENALARM bei "LOVE-LETTER-FOR-YOU.TXT.vbs"-Datei“
Hi,
verstehe ich das richtig:
Wenn ich also im win 9x im WINDOWS-Verzeichnis die wscript.exe lösche, dann kann durch dieses Ding mir nichts mehr passieren??
Wofür ist denn diese wscript.exe eigentlich? Brauche ich sie nicht??
Danke schon jetzt für die Aufklärung.
Ronin Indio „Hi,verstehe ich das richtig: Wenn ich also im win 9x im WINDOWS-Verzeichnis die...“
Hi,
richtig. Der Windows-Scripting-Host ist eine Art Interpreter, sprich ohne diesen kann ein Script nicht ausgeführt werden. Man kann ihn auch über den Windows-Setup-Dialog in Systemsteuerung/Software deinstallieren. Wenn diese Datei nicht da ist, mußt Du Dir (zumindest) um VBS-Dateien keine Sorgen mehr machen.
Bis denne
Ronin
ph¡l Ronin „Hi,richtig. Der Windows-Scripting-Host ist eine Art Interpreter, sprich ohne...“
und um .js files!
(Anonym) Nachtrag zu: „VIRENALARM bei "LOVE-LETTER-FOR-YOU.TXT.vbs"-Datei“
... und wie siehts mit Netscape aus?
was passiert bei netscape?
Ronin (Anonym) „... und wie siehts mit Netscape aus?was passiert bei netscape?“
Hi,
nix. Dem IE selber passiert ja auch nichts, er wird nur dazu benutzt, eine Datei auf die Platte zu ziehen, die dann bei jedem Systemstart anläuft.
Ronin
Tiago (Anonym) „VIRENALARM bei "LOVE-LETTER-FOR-YOU.TXT.vbs"-Datei“
Das Teil hat ein sog. SPYDER aus Manila geschrieben. Hatte wohl keine Lust auf Schule,
weil in der ersten Zeile des Skriptes steht: I hate go to school.
Hat statt dessen lieber ein paar tausend Mail-Server lahmgelegt.
cu
(Anonym) Nachtrag zu: „VIRENALARM bei "LOVE-LETTER-FOR-YOU.TXT.vbs"-Datei“
Traurig traurig. Es gab Zeiten, da wurden diese "Achtung Virus" eMails bestenfalls belächelt. Und jetzt das...
(Anonym) Nachtrag zu: „VIRENALARM bei "LOVE-LETTER-FOR-YOU.TXT.vbs"-Datei“
Detaillierte Infos gibst es bei dieser Adresse Http://www.Symantec.com
(Anonym) Nachtrag zu: „VIRENALARM bei "LOVE-LETTER-FOR-YOU.TXT.vbs"-Datei“
Hier ein paar Tips von Microsoft was zu tun ist :
Received from Microsoft Technical Account Manager.
If your machine has been infected please do the following:
Delete the following WScript Files from Windows 2000 Systemdrive (probably it's the same for Windows NT)
1. %Systemroot%\win32dll.vbs
%Systemroot%\System32\mskernel32.vbs
%Systemroot%\System32\love-letter-for-you.txt.vbs
2. reset your Internet explorer homepage
3. Delete the reg keys
hkcu\software\microsoft\currentversion\run\-->mskernel32
hkcu\software\microsoft\currentversion\runservice\-->win32dll
Many thanks and best regards
*********************************************************************************
Ladies and Gentlemen,
In case you receive one of the following mail with the subject : " ILOVEYOU"
with an attached document called : " LOVE-LETTER-FOR-YOU.TXT.vbs"
and with the text : " kindly check the attached LOVELETTER coming from me."
PLEASE DO NOT OPEN, DELETE IT AND REMOVE IT FROM "DELETED ITEMS".
Sperrt zudem die Seite www.skyinet.net
Ausserdem hilf Trendmicro weiter.
www.trendmicro.com
Es gibt da n automatischen Fix wenn Ihr das File bereits geöffnet habt.
Sollte das System bereits mit VBS_LOVELETTER infiziert sein, so kann man den Virus mit dem Tool KILL_VBS entfernen.
Dieses Tool finden Sie unter: http://www.trendmicro.de/virinfo/akut.html Hier sind zudem aktuellste Informationen zu diesem Vorfall abrufbar!
Achtung !! Wenn das System einmal befallen ist verteilt sich der Virus jedesmal neu sobald Outlook erneut gestartet wird.
Gruss - The undertaker
