VBS.Hard tarnt sich als Symantec-Virenwarnung

Die Antivirenhersteller warnen vor dem Virus VBS.Hard. Der Wurm verbreitet sich über Outlook und tarnt sich als vermeintliche Virenwarnung von Symantec.

Der echte Antivirenhersteller Symantec kennt den Wurm auch als VBS/Hard-A und VBS/Hard@mm. Der Schädling versteckt sich in einem Attachement das wiederum als URL getarnt ist. Das Visual-Basic-Skript heißt dort "www.symantec.com.vbs". Im Betreff der E-Mail wird eine weitergeleitete Virenwarnung von Symantec suggeriert: "FW: Symantec Anti-Virus Warning". Der Text der infizierten Mail kündigt eine Beschreibung eines Virus an. Der Versuch als "Symantec" aufzutreten gipfelt in "Unterschrift: "With regards, F. Jones, Symantec senior developer".

Wird das Attachement ausgeführt, kopiert sich der Wurm in das Verzeichnis C:\\www.symantec.com.vbs. Außerdem versucht er lokal eine gefälschte Symantec-Webseite zu erstellen, indem er die Klassen-ID (CLSID) {3050F4D8-98B5-11CF-BB82-00AA00BDCE0B} referenziert. Diese CLSID gehört zum Dateityp HTML Applications (HTA). Der Wurm bringt Hilfsdateien mit, die er für die Erstellung der Seite nutzt. Funktioniert der Versuch, wird auf der Seite vor einem nicht existierenden Virus VBS.AmericanHistoryX_II@mm gewarnt. Danach verschickt sich der Wurm an alle im Outlook-Adressbuch zu findenden Dateien.

Die Antivirenhersteller haben ihre Signaturen bereits auf den neusten Stand gebracht. Obwohl derzeit nur wenig verbreitet, wird dem Wurm wird wegen der relativ raffinierten Tarnung ein hohes Verteilungspotenzial zugesprochen.

Weitere Informationen zum Thema erhalten Sie in unseren Virengrundlagen und in den Reports Entwicklung der digitalen Plagegeister und Viren unter Linux. (uba)