Viren, Spyware, Datenschutz 11.214 Themen, 94.188 Beiträge

VIRENALARM bei "LOVE-LETTER-FOR-YOU.TXT.vbs"-Datei

(Anonym) / 13 Antworten / Flachansicht Nickles

Hallo Leute!

Falls ihr eine E-Mail mit folgender Datei bekommt, so dürft ihr
diese auf gar keinen Fall öffnen: LOVE-LETTER-FOR-YOU.TXT.vbs
Es wird u.a. die Registry verändert, JPG- u. VBS-Dateien gelöscht.

Wer hat mit diesem Ding schon Erfahrungen gesammelt?

bei Antwort benachrichtigen
Ronin (Anonym) „VIRENALARM bei "LOVE-LETTER-FOR-YOU.TXT.vbs"-Datei“
Optionen

Hi,

habe gerade 4 Stunden mit dem Ding beim Kunden zugebracht - simpel, umgeht aber jede Sicherheitsmaßnahme und ist extrem effektiv !

Macht folgendes :

1) Liest das Windows-Adress-Book aus (wird z.B. von Outlook benutzt) und schickt sich selbst an jede aufgeführte Adresse.

2) Löscht alle *.MP2, *.MP3, *.JPG, *.JPEG und jede *.VBS, *.VBE, benutzt aber deren Dateinamen, um sich selber breit zu machen. Die Dateien sind leicht daran zu erkennen, das sie 11 KB groß sind und eine Endung in der Art von .jpg.vbs haben. Kann man einfach alle löschen. Ich würde jede .VBS-Datei auf dem System killen.

3) Macht mehrere Einträge in der Registry, z.B. wird die Startseite des Internet-Explorers festgelegt, es gibt 4 verschiedene Adressen. Dort wird dann ein Programm names WIN-BUGSFIX.EXE geladen/gestartet. Weitere Einträge gehen dahin, das unter Local_Machine\Software\Microsoft\Windows\Current in den RUN-Schlüsseln VBS-Scripte hinterlegt werden - raus damit. Einfach mal in LOVE-LETTER.vbs reingucken (nicht starten !), dann sieht man, was gemacht wird.


Soweit die größten Teile, Abhilfe ist einfach :

Den Windows-Scripting-Host löschen. Steht bei Win9X unter \WINDOWS, heißt wscript.exe

Unter NT findet man die Datei unter \WINNT\SYSTEM32, heißt genauso.

Weiterhin sollte man alle *.VBS und *.VBE-Dateien löschen, wenn Sie oben genannte Symptome aufweisen.

Ist, dank der Dateiauswahl (JPG,MPs usw), wohl eher als "harmlos" einzustufen, da im Normalfall nur Grafiken von der Zerstörung betroffen sind. Zeigt aber sehr deutlich, wie simpel man jedes Sicherheitskonzept umgehen kann. Das auf die Idee mit VBS noch keiner gekommen ist ? Allerdings ist zu befürchten, das die Dinger demnächst in 20 Millionen Variationen auf uns niederkommen. Wie gesagt : Am besten den Scripting-Host löschen, dann kann nicht viel passieren.

Bye,

Ronin

bei Antwort benachrichtigen
und um .js files! ph¡l