Neues Virus in Österreich und Deutschland aktiv

IKARUS Software hat Gegenmittel zu VBS.FIREBURN.A

Wien (pts006/30.05.2000/09:48)

Das Thema Computerviren hat auch heute seinen (inzwischen) täglichen neuen Virus dazubekommen. VBS.FIREBURN.A ist sowohl in Österreich als auch in Deutschland bereits aktiv. Seine Schadensfunktion ist gering, dennoch kann es relativ unangenehm werden. IKARUS Software stellt bereits ein Gegenmittel zur Verfügung: ein aktuelles Update findet sich auf der IKARUS-Homepage.

Der VBS.FIREBURN.A ist ein Visual Basic Script (VBS) Wurm, der, wie schon sein "weltbekannter" Vorgänger LoveLetter, auf ausgesprochen erfolgreiche Mechanismen setzt, um sich zu verbreiten. Wie das LoveLetter kommt das FIREBURN-Virus als Dateianhang, also als Attachement auf den Rechner. Im Gegensatz zu LoveLetter stammt das Virus aber mit hoher Wahrscheinlichkeit aus Deutschland.

VBS.Fireburn.A - so nennt ihn der Schreiber des Virus - ist ein polymorphes Virus, das, so wie NEWLOVE, den Namen des verseuchten Attachement bei jedem Ausführen (also beim Start des Attachments) verändert:

Folgende acht Dateinamen sind für die Attachements möglich:

Ultra-Hardcore-Bondage.JPG.vbs
Christina__NUDE!!!.JPG.vbs
CuteJany__BigTits!.GIF.vbs
MyGirlfriend__NUDE!.JPG.vbs
Aguiliera__NUDE!!.JPG.vbs
Jany__Gets-fucked!.GIF.vbs
cute__EmmaPeel!!!.JPG.vbs
Julie17__xxx.GIF.vbs

Der Text der Mail selbst ist entweder in englischer oder in deutscher Sprache verfasst. Überprüft wird dies an der Existenz des Verzeichnisses C:\Programme" - ist dieses vorhanden wird der Text des Mails in deutscher Sprache verschickt.

Der Inhalt der deutschsprachigen Mails lautet:

Subject: "Moin, alles klar?"
Body: ""Hi, wie geht's dir? Guck dir mal das Photo im Anhang an, ist echt geil ;)

bye, bis dann.."

Der Inhalt des englischsprachigen Mails lautet:
Subject: "Hi, how are you?"
Body: "Hi, look at that nice Pic attached ! Watching it is a must ;)
cu later..."

Statt nackter Tatsachen zu sehen, beginnt das Virus mit seinem Treiben. Wird das Attachement mittels Doppelklick gestartet, wird die Registry dahingehend verändert, dass sie eine Datei rundll32.vbs startet, die vom Virus angelegt wurde und mit der er nach einem Neustart des Rechners wieder aktiviert wird. Anschließend verbindet sich das Virus mit einem mIRC-Channel (falls installiert) wo das Virus sich ebenfalls versendet.
Auch versendet es sich wie bereits seine Vorgänger an alle eingetragenen Empfänger im Outlook- Adressbuch.

Am 20. Juni jedes Jahres wird der Payload (die Schadensfunktion) des Virus aktiv. Es wird eine Messagebox mit dem Text "I'm proud to say that you are infected by FireburN! FireburN" geöffnet. Weiters wird durch das Virus gleichzeitig die Tastatur- und die Mausbedienung gesperrt.

Tipp vom "Virendoktor":
User sollten den Windows-Scripting Host deaktivieren. Ohne den Scripting Host ist das Virus völlig harmlos und kann sich weder verbreiten noch seine Schadensfunktion aktivieren. Die notwendigen Schritte für das Deaktivieren des Scripting-Hosts (ist von Betriebssystem zu Betriebssystem verschieden) finden sich auf http://www.ikarus.at.

IKARUS empfiehlt mit Nachdruck, keine Attachments mit der Endung "*.VBS " zu starten, die noch dazu mit unbekannten Subjects oder Texten gesandt wurden.

Überprüfen Sie ob der Absender des E-Mails mit dem Attachment in Zusammenhang gebracht werden kann! (Wie hoch ist die Wahrscheinlichkeit, dass Sie von Ihrem Geschäftspartner eine Datei mit dem Namen Jany__Gets-fucked!.GIF.vbs bekommen?)

Aktivieren Sie, wenn möglich sofort, einen E-Mail Filter, der Attachments, die VBS Dateien enthalten, abblockt bzw. in eigens dafür vorgesehene Quarantänebereiche stellt.
Ein Update des Virenschutzprogamms ist empfehlenswert.

Ansprechpartner für Fragen:
IKARUS Software GmbH
1060 Wien, Fillgradergasse 7
01/58 995-0 (Ende)