W32/Linong.A - Kombi-Wurm mit Doppelladung

Die Namen von Betreffzeile, E-Mail-Text und Anhang wählt Linong zufällig aus einer ganzen Liste, die Norman hier aufführt. Üblicherweise soll der Betreff "One of this mail" heißen, im Text wird eine "True story..." angekündigt, in der Hoffung, dass die angehängte "mylinong.exe" ausgeführt wird.

Nach einem Doppelklick nimmt Teil I des Wurms die Arbeit auf. In üblicher Weise kopiert sich der Schädling ins Windows- und Windows/System-Verzeichnis und trägt sich in die Registry ein. Anschließend wird versucht, für Vermehrung über alle Einträge im Outlook-Adressbuch zu sorgen. Eine Infektion lässt sich durch eine Eigenheit des Schädling leicht feststellen: Linong erzeugt laut Norman nicht weniger als 501-Ordner unter "C:\\", die alle denselben Namen tragen: "Linong I Love U So Much Linong For ever My LoveX". Das X am Ende steht als Platzhalter für die Zahlen 1 bis 501.

Teil I ist damit abgearbeitet und Teil II kann beginnen. Im Wesentlichen handelt es sich dabei um den Loveletter-Verschnitt VBS.Loveletter.CQ. Erneut werden Dateien ins Windows-Verzeichnis kopiert und Einträge in die Registry vorgenommen. Das Skript versucht die Original-EXE per Mail an Einträge in die Adressbücher zu schicken.

Das VB-Skript erzeugt dann zufällig IP-Adressen und versucht, falls ein Netzwerk mit solchen IP-Adressen vorhanden ist, mit diesen in Kontakt zu treten. Findet der Virus dort ein verbundenes Laufwerk C: mit Schreibrecht, kopiert er sich als linong.vbs dorthin. Durch einen Fehler im Skript nimmt er die für die Mail-Aktion zuständige EXE-Datei aber nicht mit. Loveletter.CQ hat ebenfalls die Eigenheit, Ordner anzulegen, laut Norman 600 Stück. Die neuen Signaturen der Antivirenhersteller erkennen den Schädling bereits.

Hintergrundinformationen zu Würmern und Viren finden Sie in unserem Artikel Computerviren: Grundlagen. Tipps zum Schutz Ihrer Rechner liefern der Artikel Firewall-Grundlagen sowie unsere Tests zu Virenscannern und Personal Firewalls. (uba)