ILOVEYOU - so wird man ihn los

Der E-Mail-Wurm "VBS/LoveLetter", auch bekannt als "ILOVEYOU", basiert auf einem Visual-Basic-Skript. Wer noch kein Update für seine Virensoftware findet, kann den Plagegeist auch von Hand entfernen. Außerdem genügt eine simple Änderung an der Windows-Konfiguration, um einen Befall durch diesen Virus zu verhindern.

Der E-Mail-Wurm LoveLetter legt seit dem frühen Donnerstag der Reihe nach Mailsysteme in ganz Europa lahm. Seit dem Nachmittag sind auch die Web-Server der großen Hersteller von Antiviren-Software kaum noch erreichbar - offenbar versuchen Millionen besorgter Anwender, Updates herunterzuladen.

tecChannel hat sich eine Kopie des Virus besorgt und ausführlich analysiert. Die folgende Anleitung bezieht sich auf die gegenwärtig im Umlauf befindliche Variante, deren Skript 10307 Byte lang ist. Über die Wirkungsweise von LoveLetter hat tecChannel bereits berichtet. Außerdem steht ein Test von Virenscannern bereit.

Infiziert werden können durch LoveLetter nur Systeme, auf denen Windows 95 mit Internet Explorer 5.0, Windows 98, Windows 98SE, Windows NT 4.0 mit Internet Explorer 5.0 oder Windows 2000 laufen. Das schließt auch beispielsweise Macs ein, die mit einer Emulator-Software arbeiten. Die ursprüngliche Installation des Wurms läuft über den Windows Scripting Host (WSH), der sich bei Windows 98 und SE über Systemsteuerung/Software/Windows Setup/Zubehör deinstallieren lässt. Wie sich der WSH unter Windows 2000 deaktivieren lässt, ist derzeit noch ungeklärt.

In jedem Fall sollten unbekannte Dateianhänge nicht ausgeführt werden. Die Datei, die LoveLetter enthält, heißt "LOVE-LETTER-FOR-YOU.TXT.vbs". Bei manchen Mail-Programmen wird die Endung ".vbs", die ein Visual-Basic-Skript identifiziert, nicht angezeigt - hier ist besondere Vorsicht geboten.

Der Wurm legt folgende Dateien an, die seinen Code enthalten. Zum Entfernen der eigentlichen Funktionalität von LoveLetter genügt es, diese im Verzeichnis (Windows-Verzeichnis)\\SYSTEM zu löschen:

MSKernel32.vbs, Win32DLL.vbs, LOVE-LETTER-FOR-YOU.HTM, LOVE-LETTER-FOR-YOU.TXT.vbs

Wenn sich LoveLetter schon einige Zeit im System austoben konnte, hat er alle Dateien mit folgenden Endungen überschrieben: .css, .hta, .jpeg, .jpg, .js, .jse, .mp2, .mp3, .sct, .vbe, .vbs, vsh.

Bei denen, die nicht schon die Endung .vbs trugen, wird sie hinzugefügt. Das Lieblingsstück heißt dann beispielsweise musik.mp3.vbs. Jeder Doppelklick auf diese Dateien kann den Virus wieder neu installieren, da sie nun als Skript ausgeführt werden. Der Inhalt der Originaldateien ist verloren, da LoveLetter sie schlicht überschreibt. Im Glücksfall finden sie sich noch im Papierkorb von Windows. Die infizierten Dateien mit der Endung .vbs sollte man in jedem Fall löschen. Sie sind 10307 Byte groß.

LoveLetter trägt sich an vielen Stellen der Registry ein. Die folgenden Keys sollte man mit regedit (Start/Ausführen/regedit.exe) löschen. Dabei ist jedoch Vorsicht geboten: Ein falscher Klick in der Registry kann das komplette System lahm legen. Wer keine Erfahrungen mit RegEdit hat, sollte die Arbeit einem Spezialisten überlassen: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\ Windows\\CurrentVersion\\Run\\MSKernel32 und HKEY_LOCAL_MACHINE\\Software\\ Microsoft\\ Windows\\CurrentVersion\\RunServices\\Win32DLL

Wenn der Wurm sich schon per E-Mail verbreiten konnte, finden sich unter diesem Key noch weitere Einträge in der Registry, sie müssen allesamt gelöscht werden: HKEY_CURRENT_USER\\Software\\Microsoft\\WAB\\

Der Wurm versucht außerdem über die Startseite des Internet Explorer eine Datei von einem philippinischen Server herunterzuladen. Zwar ist das File dort inzwischen gelöscht worden, man sollte die Startseite aber unter diesem Registry-Key wieder löschen: HKCU\\Software\\Microsoft\\InternetExplorer\\ Main\\Start Page

Wenn das Programm bereits geladen wurde, muss der Key zur Ausführung gelöscht werden: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\ Windows\\CurrentVersion\\Run\\WIN-BUGSFIX

Die Datei selbst steht im aktuellen Download-Verzeichnis, sie heißt WIN-BUGSFIX.EXE und muss ebenfalls gelöscht werden.

Wer den IRC-Client "mIRC" benutzt, muss die Datei script.ini im mIRC-Verzeichnis, sofern vorhanden, löschen - LoveLetter verbreitet sich sonst auch beim IRC-Chat über eine HTML-Datei, die per DCC an andere Chatter geschickt wird. Die Warnungen in dieser Datei kann man getrost ignorieren - mIRC funktioniert nach dem Löschen immer noch, nur der Wurm wird nicht mehr verschickt. (nie)

Beachten Sie zum LoveLetter-Virus bitte auch unseren umfassenden Report:

ILOVEYOU: Hintergründe und Hilfen