Neuer Liebes-Virus überschreibt alles

Die Antivirenexperten warnen vor einem neuen Virus namens "New.Love.A". Wie ILOVEYOU basiert der Wurm auf einem Visual-Basic-Skript (VBS) und kommt als E-Mail-Anhang. Anders als sein Vorgänger befällt der Schädling laut Symantec alle Dateien. Ein vollständiges Entfernen sei nur über ein Backup möglich.

Die "Neue.Liebe" hat auch ein neues System für den E-Mail-Anhang. Zum einen variiert die Größe des Anhangs. Zum anderen zieht der Wurm das Subject der Mail aus der Windows\\Recent-Liste und setzt nur ein "FW:" voran. Ist die Liste leer, generiert "New.Love" einen Namen. Unter Windows NT und 2000 wird der Dateiname laut Symantec einfach ausgelassen, das Subject heißt dann "FW:EXT", das Attachment nennt der Wurm entsprechend "EXT.VBS". Die Mail enthält ansonsten keinen Text.

Im Gegensatz zum Original findet man keinen Code des neuen Virus laut dem Leiter des Europäischen Virenlabors von Symantec, Eric Chien keine direkten Hinweise auf den Autor. Mit hoher Wahrscheinlichkeit stammt er aber nicht aus der Feder des ILOVEYOU-Autors. Der Wurm ist polymorph, das heißt, er verändert seine Größe von einer Generation zur anderen. Befällt er ein System, erzeugt er eine Reihe (bis zu 300) von Buchstaben oder Leerstellen in seinem Code. Die Datei wird damit von Mal zu Mal größer und sorgt so für zusätzliche Belastung von Mailservern. Außerdem wird das Aufspüren über die Dateigröße unmöglich.

Die Funktionsweise basiert auf dem bekannten Muster. Wird der Anhang geöffnet, versucht sich der Wurm über Outlook (Express) an alle Adressen im Adressbuch des Benutzers zu verschicken. Laut Symantec und Trend Micro  überschreibt die Schadensroutine alle Dateien auf lokalen Laufwerken. Außerdem befällt er alle gemappten Netzwerklaufwerke. Ein Systemstart ist danach nicht mehr möglich. Teilweise befällt der Wurm Dateien auch mehrfach, was an Dateinamen wie "xxx.jpg.vbs.vbs.vbs" zu erkennen ist. In manchen Fällen habe der Wurm auch nur die Windows-System-Dateien befallen.

Der Wurm trägt sich laut Computer Associatesin der Registry ein und zwar unter HKEY_LOCAL_MACHINE\\Software\\Microsoft\\ Windows\\CurrentVersion\\Run und HKEY_LOCAL_MACHINE\\Software\\Microsoft\\ Windows\\CurrentVersion\\RunServices. Laut Symantec ist die bisherige Verbreitungsgeschwindigkeit (Wildness) als "Mittel" einzustufen. Die potenzielle Verbreitung (Distribution) wird als "Hoch" eingestuft.

Durch die variable Benennung des Subjects und des Anhangs kann der Wurm durch einfaches Filtern des Subjects nicht gestoppt werden. Laut den Antivirenherstellern ist aber das "FW:" immer vorhanden. Wie Raimund Genes von Trend Micro sagte, sei der Virus in Europa noch nicht verbreitet und tauche bisher nur in Nordamerika auf. Bislang bietet nur Trend Micro seinen Kunden ein Update ihres Virenscanners an, das den Wurm entfernt. Die anderen Hersteller versprechen Updates in Kürze. Inzwischen hat sich auch das Bundeskriminalamt (BKA) eingeschaltet.

Zusatzinformationen zum Schutz Ihrer E-Mail bietet unser Thema des Tages Sichere E-Mail. Weitere generelle Schutzmaßnahmen vor Viren enthält auch der tecChannel-Report zum ILOVEYOU-Virus. (uba)