ILOVEYOU: Neue Varianten als Gegenmittel getarnt

Mindestens acht Varianten des ILOVEYOU-Wurms sind im Internet unterwegs. Unter der Betreff-Zeile "Virus ALERT!!!" gibt sich ein Trittbrettfahrer sogar als die Antiviren-Firma Symantec aus und verspricht ein Gegenmittel gegen ILOVEYOU mitzuschicken. Die angefügte Datei "protect.vbs" löscht jedoch Programme und Batch-Dateien.

Der unter der Absenderadresse support@symantec.com verschickte Virus und als "VBS.LoveLetter.G" klassifizierte Ableger von LoveLetter stammt nicht von Symantec, wie das Unternehmen auf seiner Webseite klarstellt. Dort findet sich auch eine Liste von sieben weiteren Varianten des Virus-Wurms, der seit Donnerstag die Welt heimsucht.

LoveLetter.G ist besonders gefährlich, da er mit .com-Dateien und .bat-Dateien Programme und Batch-Files löscht. Wer nach der weltweiten Berichterstattung über ILOVEYOU immer noch auf ausführbare Dateien klickt, deren Übertragung nicht vereinbart war, könnte sich damit den Rechner lahm legen. Schon beim Systemstart benötigt Windows 9x einige .com-Dateien - nach einem Befall von LoveLetter.G bootet der Rechner nicht mehr. Er muss von einem hoffentlich virenfreien Backup wiederhergestellt werden.

Reichlich hinterhältig ist auch die Variante "VBS.LoveLetter.G", die unter dem Betreff "Dangerous Virus Warning" verschickt wird. Ihr ist eine Datei namens "virus_warning.jpg.vbs" angefügt. Wird die Namenserweiterung nicht angezeigt, kann der Benutzer die Datei mit einem vermeintlich harmlosen JPEG-Bild verwechseln. Es ist jedoch, ebenso wie alle anderen LoveLetter-Varianten, ein Visual-Basic-Skript, welches das System infiziert.

Um den Benutzer zum Ausführen einer Datei zu verleiten, behauptet "VBS.LoveLetter.B", der unter dem Betreff "Mothers Day Order Confirmation" unterwegs ist, die Kreditkarte des Empfängers wäre mit einem Muttertagsgeschenk belastet worden. Die dieser Mail angehängte Datei "mothersday.vbs" ist jedoch ein weiteres bösartiges Skript.

Als Konsequenz aus den LoveLetter-Varianten aktualisieren die Hersteller von Antiviren-Software ihre Programme inzwischen im Rhythmus einiger Stunden. Einen Test von Virenscannern mitsamt den Links zu den Herstellern finden Sie ebenfalls im tecChannel. Die Programme sollen inzwischen durch heuristische Analysen auch neue Varianten von Love.Letter erkennen, die möglicherweise noch entstehen.

Neben dem Aktualisieren der Virenscanner können clevere Administratoren die gefährlichen Mails jedoch schon am Gateway abfangen. Mit weiteren Varianten ist zu rechnen, die folgenden Betreffzeilen in der exakten Schreibweise ohne Anführungszeichen gehören jedoch schon jetzt in jedes Killfile:

Die letztgenannte Variante verwendet im Namen "IL0VEY0U" Nullen statt des Buchstabens "O", um einer Erkennung zu entgehen. Zwei der Varianten verschicken sich weiterhin unter dem Betreff "ILOVEYOU", so dass deren Betreffzeilen hier nicht aufgeführt sind. (nie)

Beachten Sie bitte zum LoveLetter-Virus auch unseren umfassenden Report: ILOVEYOU: Hintergründe und Hilfen.