Virulent: Skriptwurm löst Maillawine aus

VBS.Homepage, ein in VBScript verschlüsselter Wurm, sorgt für Masseninfektionen: Er verschickt sich an alle Einträge aus dem Outlook-Adressbuch seiner Opfer.

Verseuchte E-Mails tragen die Betreffzeile "Homepage" und beherbergen als gefährliche Fracht das Attachment "Homepage.HTML.vbs". Durch die Standardeinstellung von Windows, die die Erweiterungen bestimmter Dateitypen ausblendet, merkt der Anwender nicht, dass es sich um eine Skriptdatei handelt. Er geht vielmehr von einer "coolen" Homepage aus, wie der Text der Mail suggeriert. Die versprochene Homepage fällt allerdings weniger durch ihre künstlerische Gestaltung, sondern durch viel nackte Haut auf: Ein Zufallsgenerator wählt eine von vier Pornosites aus und öffnet sie.

Enttarnt: Hinter der "coolen" Homepage verbirgt sich ein Visual Basic Skript.

Beim Öffnen des Dateianhangs wird der kodierte Programmteil des Wurms entschlüsselt und ausgeführt. Dann fragt der Schädling zunächst den Registry Key "HKCU\\software\\An\\mailed" ab, um zu überprüfen, ob er sich von diesem PC bereits verschickt hat. Ist das nicht der Fall, startet die Malware den Massenversand infizierter E-Mails an alle Einträge im Outlook-Adressbuch. Um seine Spuren zu verwischen, löscht VBS.Homepage abschließend alle Mails mit der Betreffzeile "Homepage".

Verschiebespiel: Die Codierung von VBS.Homepage ist trivial.

Die großen Hersteller von Antivirensoftware stellen bereits entsprechende Virenscanner-Updates auf ihren Websites bereit. Eine Übersicht der aktuellen Antivirus-Programme finden sie in unserem Virenscanner-Test. Die Funktionsweise der Schädlinge ist in den Viren-Grundlagen beschrieben. (tri)