Neuer Virus wirbt mit Pornobildern

Pornobilder verspricht ein neuer Virus und will damit unbedachte Benutzer dazu bringen, seinen schädlichen E-Mail-Anhang zu öffnen. Die Virenwächter von Trend Micro stufen die Gefahr durch den VBS/FireBurn.worm als "Mittel" ein.

Wie inzwischen üblich, verbreitet sich FireBurn über Microsoft Outlook und benötigt den Windows-Scripting-Host. Ähnlich dem ILOVEYOU-Virus kann er sich aber auch über das Chat-Programm mIRC verbreiten.

Der Wurm variiert den Betreff und den Text der Mail. Zur Wahl stehen laut Computer Associates für den Betreff: "Hi, how are you?" oder "Moin, alles klar?". Im Text heißt es entsprechend: "Hi, look at that nice Pic attached! Watching it is a must ;) cu later..." oder "Hi, wie geht's dir? Guck dir mal das Photo im Anhang an, ist echt geil ;) bye, bis dann...".

Laut Symantec checkt der Wurm, ob er sich in deutsch- oder englischsprachiger Umgebung befindet. Als E-Mail-Anhang kommt eine der folgenden VBS-Dateien, die oberflächlich als JPG-Dateien getarnt sind, und sich bei jeder Vervielfältigung des Wurms ändern:

Ultra-Hardcore-Bondage.JPG.vbs Christina__NUDE!!!.JPG.vbs, CuteJany__BigTits!.GIF.vbs, MyGirlfriend__NUDE!.JPG.vbs, Aguiliera__NUDE!!.JPG.vbs, Jany__Gets-fucked!.GIF.vbs, cute__EmmaPeel!!!.JPG.vbs, Julie17__xxx.GIF.vbs.

Abgesehen davon, dass sich der Wurm sofort beim Öffnen über Outlook verschickt, sich in die Registry einträgt und sich ins Windows-Verzeichnis und falls vorhanden den mIRC-Client kopiert, ist die Schadensfunktion auf den 20. Juni terminiert. An diesem Datum versucht der Wurm, die Maus und das Keyboard über folgende Registry-Einträge unbrauchbar zu machen.

HKEY_LOCAL_MACHINE\\Software\\ Microsoft\\Windows\\CurrentVersion\\ Run\\Shut_Up","rundll32 mouse,disable",

HKEY_LOCAL_MACHINE\\Software\\ Microsoft\\Windows\\CurrentVersion\\ Run\\Shut_Up2","rundll32 keyboard,disable"

Infektion gelungen: FireBurn grüßt am 20. Juni mit dieser Meldung.

Sowohl Trend Micro als auch Computer Associates bieten Signaturen ihrer Antiviren-Software an, die den Wurm unschädlich machen. Laut Trend Micro ist der Wurm bislang vereinzelt in Österreich aufgetaucht. Durch die versprochenen Nacktfotos rechnet Trend Micro dem Schädling durchaus das Potenzial zu, sich auszubreiten.

Zusatzinformationen zum Schutz Ihrer E-Mail bietet unser Thema Sichere E-Mail. Weitere generelle Schutzmaßnahmen vor Viren enthält auch der tecChannel-Report zum ILOVEYOUVirus. (uba)