Email Virus unterwegs, kein Scherz!

Status
Für weitere Antworten geschlossen.
G

Guest

Gast
Dies ist kein Witz, ich sitze hier bei mir auf der Arbeit und wir wurden von einem fiesen Mailattachment heimgesucht! VBScript, daß an alle im MailClient gespeicherten Kontakte die Mail weiterleitet. Beim Öffnen der Datei werden verschiedene Einträge in der Registrierung vorgenommen, die bewirken, daß beim Starten des IE ein Virus runtergeladen wird, der dann beim nächsten Windows Neustart einiges Unheil anrichten kann. Was genau ist mir nicht bekannt, hat keiner getestet ;-)

Also, falls Ihr eine Mail bekommt, mit dem Betreff "ILOVEYOU" und einem .VBS Anhang, sofort ohne Umschweife löschen und auch aus dem Gelöschte Objekte Ordner!
 
Unter www.heise.de (CT-Magazin) sind meine Berichte bestätigt worden. Scheinbar war unsere Firma eine der ersten befallenen!

Seit 11.30 Uhr gehen in der c't-Redaktion vermehrt Hinweise auf einen neuen E-Mail-Wurm ein, der sich offenbar rasant im Internet verbreitet. Die riskante Fracht steckt in einem Dateianhang einer E-Mail mit dem Subject "ILOVEYOU", der Text der Nachricht lautet "kindly check the attached LOVELETTER coming from me." Wer einen solchen Brief erhält, sollte keinesfalls das anhägende VB-Script-Programm LOVE-LETTER-FOR-YOU.TXT.vbs starten. In einigen Mail-Clients wird die .VBS-Dateierweiterung nicht angezeigt, das Skript aber je nach Systemkonfiguration dennoch gestartet.

Bislang scheinen die bekannten Virenscanner den Übeltäter noch nicht zu erkennen. Der Wurm soll beim Versuch, sich weiter zu verbreiten, wahre E-Mail-Lawinen lostreten ? einige Firmen berichteten uns von lahmgelegten E-Mail-Servern. Andere Leser waren zudem mit Schäden in der Registry und gelöschten Dateien konfrontiert. Ein flüchtiger Blick auf den VB-Code des Wurms lässt vermuten, dass er sich sowohl per E-Mail, als auch per IRC (durch ein Mirc-Skript) von befallenen Rechnern aus verbreitet. Zudem versucht der Wurm anscheinend, eine ausführbare Datei von Webseiten eines philippinischen Internetproviders nachzuladen. (nl/c't)


Der Wurm VBS/LoveLetter, der sich seit heute morgen, wie gemeldet, rasant im Internet verbreitet, lässt sich von Hand entfernen. Außerdem ist zu erwarten, dass alle namhaften Anti-Virus-Softwareanbieter in Kürze Updates bereit stellen, die den Wurm erkennen und unschädlich machen können ? einige Anbieter haben bereits reagiert. Bitte prüfen Sie bevorzugt die WWW-Angebote Ihres Virenscanner-Herstellers. Wer noch keine Anti-Virus-Software im Einsatz hat, findet in unseren Anti-Viren-Bookmarks Links zu kostenlosen Programmen (für den privaten Einsatz). Apple-Macintosh- und Linux/Unix-Anwender sind von dem Wurm grundsätzlich nicht betroffen, da diese Systeme kein VB-Script unterstützen.

Anzeichen für einen Wurmbefall auf Windows-Computern sind die Dateien Win32DLL.vbs im Windows-Verzeichnis und MSKernel32.vbs im Windows-Systemverzeichnis. Zur Entfernung von LoveLetter müssen diese Dateien gelöscht werden. Löschen Sie darüber hinaus die Dateien LOVE-LETTER-FOR-YOU.HTM und LOVE-LETTER-FOR-YOU.TXT.vbs im Systemverzeichnis. Außerdem hat der Wurm vermutlich alle erreichbaren Dateien mit den Erweiterungen VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, MP3, MP2, JPG und JPEG befallen, mit seinem eigenen Code überschrieben und ggf. zusätzlich ".vbs" angehängt. Auch diese Dateien sollten gelöscht werden.

Wer keinen Virenscanner zur Bestätigung des Wurmbefalls nutzen kann, sollte vor dem Löschen zumindest einen flüchtigen Blick auf die Dateilänge werfen (oder die Dateien umsichtig mit einem Texteditor öffnen und den enthaltenen Code prüfen): Infizierte Dateien enden auf .js.vbs, jpg.vbs usw. und haben eine Größe von circa 10 KByte. Im Zweifelsfall empfiehlt sich eine Sicherungskopie vor dem Löschen.

Auch in der Registry verewigt sich LoveLetter: Über die Registry-Keys HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32 und HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL wird der Wurm nach jedem Booten neu gestartet ? diese Registrierungsschlüssel sollten mit dem Registrierungseditor (Startmenü/Ausführen/Regedit) gelöscht werden. Aber Achtung: Manipulationen an der Registry bitte mit äußerster Umsicht durchführen. Weiterhin verewigt sich der Wurm in HKCU\Software\Microsoft\Internet Explorer\Main\Start Page mit einem Downloadlink für ein Hintertürprogramm; nach erfolgtem Download und Neustart des Wurms setzt LoveLetter diesen Key jedoch wieder auf eine leere Seite.

Falls die Hintertür geladen wurde, muss auch sie entfernt werden: Dazu löschen Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX und die Datei WIN-BUGSFIX.EXE unter dem angegebenen Speicherort; ggf. sollten Sie die Datei über die Windows-Suche lokalisieren.

Nicht zuletzt versucht LoveLetter, sich per E-Mail zu verbreiten: Sofern ihm das gelingt, legt er für jede versandte Mail einen Schlüssel unter HKEY_CURRENT_USER\Software\Microsoft\WAB\ an. Wer dort Einträge findet, sollte die betroffenen Bekannten beziehungsweise Korrespondenzpartner warnen, dass sie eine gefährliche E-Mail erhalten haben. Anschließend können diese Keys ebenfalls gelöscht werden. Wer den Chatclient mIRC auf seinem Rechner installiert hat, muss weiterhin die neu angelegte Datei script.ini entfernen, die den Wurm an Chatpartner versendet.

Als generelle Vorsichtsmaßnahme empfiehlt es sich, den Windows Scripting Host im Windows-Setup (Einstellungen: Software) zu deinstallieren, sofern man ihn nicht regelmäßig benutzt. (nl/c't)
 
AntiVirus Programm ist unterwegs!

Ich kann all denjenigen die von dem Virus befallen sind, eine kleine Hoffnung geben.
Ein Kollege von mir arbeitet fieberhaft an einem Programm, der alle infizierten Dateien und Registryeinträge entfernt. Leider sind diese vom Virus vorher schon unwiderruflich geändert worden.
Schaut zwischendurch auf meine Seite, ich biete euch das Tool zum Download an, sobald es fertig ist. (Schaut in die News für den Link)
 
Re: AntiVirus Programm ist unterwegs!

...oh... ne eMail für Mich... I Love You ...haha...
*schnellöffne*

*BOOOOOOOMMMM*

WAHHHHHH!!!

Was ist DAS?!?

supertaz.gif


Kleiner scherz... :rollin:
 
Re: AntiVirus Programm ist unterwegs!

Sobald einer dieser Scherze echt wird, lachen wir nicht mehr ;)
 
Re: AntiVirus Programm ist unterwegs!

Wieso hast du was gegen Taz? :)
 
Re: AntiVirus Programm ist unterwegs!

Gegen Taz nicht, gegen den Virus ;)
 
Status
Für weitere Antworten geschlossen.
Zurück
Oben