forschung

AUSSENDER



Ikarus Software GesmbH
Ansprechpartner: Fink Sonja Judith
Tel.: 01/58995-121
E-Mail: fink.s@ikarus.at
Pressefach (74506)

FRüHERE MELDUNGEN

26.04.2011 - 14:46 | 3M (Schweiz) AG
3M associe performance et fonctionnalité exceptionnelle dans 2 nouveaux modèles
26.04.2011 - 11:30 | picturesafe media/data/bank GmbH
ZEIT ONLINE publiziert mit CopyClick von picturesafe auf Facebook
26.04.2011 - 08:00 | FH Campus Wien
5. Forschungsforum der österreichischen Fachhochschulen an der FH Campus Wien
18.04.2011 - 20:20 | pressetext.tv
AVISO Video: Siegfried Wolf bei TPA Horwath
16.04.2011 - 06:20 | pressetext.redaktion
Sexleben verläuft häufig desaströs
alle Meldungen

FORSCHUNG

10.04.2026 - 11:30 | pressetext.redaktion
Robohund mit KI ist der ideale Blindenführer
10.04.2026 - 07:00 | Diabetes Center Berne
Vier Professuren stärken den Forschungs- und Innovationsstandort Schweiz in der Diabetestechnologie
10.04.2026 - 06:10 | pressetext.redaktion
Neue Brennstoffzelle revolutioniert E-Luftfahrt
10.04.2026 - 06:05 | pressetext.redaktion
Beim Lesen lernen Kinder mehr als beim Hören
09.04.2026 - 13:55 | pressetext.redaktion
Urteil gegen Nortonlifelock wegen Antiviren-Abo
alle Forschung-News
pts20000519014 in Forschung

Eine neue LOVELETTER-Variante hält Virenjäger und PC-Anwender in Atem

NEWLOVE verbreitet - wie seine Vorgänger - auf jeden Fall keine Liebesgefühle - doch IKARUS Software hat bereits ein Gegenmittel


Wien (pts014/19.05.2000/10:37)

Der VBS.NEWLOVE.A ist ein Visual Basic Script (VBS) Wurm, der, wie schon sein "weltbkannter" Vorgänger Loveletter, auf ausgesprochen erfolgreiche Mechanismen setzt, um sich zu verbreiten. Wie das Loveletter komt das NEWLOVE Virus als Dateianhang, also als Attachement auf den Rechner.

Der entscheidende Unterschied zum bisherigen Virus ist jedoch, dass der NEWLOVE in der Lage ist, sich nach jeder Infektion unter einem anderen Namen weiter zu verschicken. Damit wird es schlichtweg unmöglich, den Anwender mit einem bestimmten "Virusnamen" wie etwa Loveletter zu warnen.

Das einzige "sichere" und sichtbare Merkmal ist, dass das Virus immer eine VBS Datei im Attachment mit sich führt. Im Gegensatz zum Loveletter verfügt das NEWLOVE Virus noch über eine weitere äußerst unangenehme Eigenschaft: das Virus ist in der Lage, alle Dateien auf der Festplatte und auf verbundenen Festplatten mit seinem Code zu überschreiben und damit zu zerstören.

Im Detail sieht dies so aus:

Wird das NEWLOVE Virus vom Anwender gestartet, kopiert sich das Virus selbst ins Windows und Windows\System Verzeichnis. Mit Hilfe einer Stealth-Technik (also der Fähigkeit, sich zu verbergen) generiert es für den Namen dieser Datei jedesmal neue Buchstabenfolgen. Auf Grund eines Fehlers im Code des Virus, kommt es jedoch nicht immer zu diesem Vorgang.

Nach erfolgter Installation modifziert das Virus wie seine Vorgänger die Registry und hinterlässt dort folgende Einträge:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
und
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\

Das steht für den jeweiligen Namen der vom Virus angelegt wurde.

Tarnen und Täuschen

Der nächste Zug des Virus führt dazu, dass es eine weitere Kopie seines Codes ins Windows\System Verzeichnis kopiert. Der Name dieser Datei wird vom Virus aus dem Windows\Recent (aktuelles) Verzeichnis geholt. Etwa die WINDOWS.INI der Name dieser Neuen Virus Datei lautet somit:
WINDOWS.INI.VBS.
Findet das Virus dort keine Dateien, verwendet es automatisch den bei der letzten Infektion verwendeten Namen.

Die "neu-generierte" Datei wird dann vom Virus via Outlook an alle eingetragenen E-Mail-Adressen verschickt. In diesem Fall würde das Mail, dann unter dem SUBJECT: FW: laufen.

Der HEADER (also der eigentlich Mailtext), behinhaltet keinerlei Information oder Texte und das ATTACHMENT lautet auf den Namen WINDOWS_INI.VBS. Der Dateiname kann jedoch immer ein anderer sein. Manchmal schlägt diese Routine fehl und das Virus verschickt sich ohne Attachment.

Hiebe statt Liebe:

Gleich nachdem das Virus die Kopien in den Windowsverzeichnissen abgelegt hat, schlägt es gnadenlos zu. Es versuchte, alle Dateien auf der Festplatte und auf verbundenen Festplatten mit seinem Code zu überschreiben. Im Klartext, es zerstört alle Dateien, die von ihm überschrieben werden.

In manchen Fällen sind es nur die Dateien im Windows oder Windows\System Verzeichnis, die das Virus zu überschreiben versucht. In diesem Fall scheitert das Virus damit seinen Code über diese Dateien zu schreiben, dafür setzt es die Dateilänge dieser Dateien auf Null, was den Effekt erzielt, das die Datei unbrauchbar wird.

Das Virus hat sich bis Freitag den 19.5.2000 zehn Uhr noch nicht in Österreich festgesetzt und wurde auch nicht gemeldet. Dennoch empfiehlt es sich, vorsichtig zu sein und dringendst folgende Maßnahmen umzusetzen.

Tipp vom Virendoktor:

Windows-Scripting Host muss deaktiviert werden
Ohne den Scripting Host ist das Virus völlig harmlos und kann sich weder verbreiten noch seine Schadensfunktion aktivieren. Die notwendigen Schritte für das Deaktivieren des Scripting-Hosts (ist von Betriebssystem zu Betriebssystem verschieden) findet man auf http://www.ikarus.at.

IKARUS empfiehlt mit Nachdruck keine Attachments mit der Endung "*.VBS " zu starten, die noch dazu mit unbekannten Subjects oder Texten gesandt wurden. Aktivieren Sie, wenn möglich sofort, einen E-Mail Filter, der Attachments, die VBS Dateien enthalten, abblockt bzw. in eigens dafür vorgesehene Quarantänebereiche stellt. Ein Update des Virenschutzprogamms ist empfehlenswert.

Alle Kunden von IKARUS Software können einmal erleichert aufatmen, denn IKARUS hat es in kürzester Zeit geschafft, den Virus zu enträtseln und in seine Software einzubauen. Auf der Homepage von IKARUS (http://www.ikarus.at) liegt die Software zum Download bereit, weiters findet man dort auch genaueste Infos über die Verbreitung und die Schadensfunktionen dieser "Liebesbriefe".

Kontakt: IKARUS Software GmbH
1060 Wien, Fillgradergasse 7
office@ikarus.at
01/ 58 995 -0. (Ende)
Aussender: Ikarus Software GesmbH
Ansprechpartner: Fink Sonja Judith
Tel.: 01/58995-121
E-Mail: fink.s@ikarus.at
Website: www.ikarus.at
|
Top