Extra-Blatt

Virus/Wurm: VBS/Funny (I-Worm.Funny)

E-Mail-Wurm spioniert Online-Banking-Daten aus

Ein E-Mail-Wurm, der möglicherweise aus VBS/Newlove abgeleitet wurde, trägt Binärcode in sich, der ein Trojanisches Pferd darstellt. Der Wurm ist in Visual Basic Script geschrieben und erfordert einen installierten Windows Scripting Host (WSH), um zu funktionieren. Mithin sind vor allem Systeme mit Windows 98 und Windows 2000 betroffen. VBS/Funny ähnelt dem ILOVEYOU-Virus VBS/Loveletter.

Bisher aufgetretene Exemplare kommen anscheinend alle von einer Mail-Adresse bei IBM:

Subject: Funny story
Text: ./.
Attachment: FUNNY_STORY.HTM.vbs

Subject: When did you die?
Text: ./.
Attachment: LIFE_ASSURANCE.HTM.vbs

Subject: Rechnungsabschrift
Text: INVOICE (gefolgt von einer falschen Rechnung)
Attachment: RECHNUNGSABSCHRIFT.DOC.vbs

Die Endung .vbs wird je nach Systemeinstellungen und verwendetem E-Mail-Programm u.U. nicht angezeigt.
Wird die angehängte Datei ausgeführt, überschreibt das Script alle VBSCript-Dateien im Windows\System-Verzeichnis mit seinem eigenen Code. Dann durchsucht es die Registry nach dem Schlüssel HKCU\SOFTWARE\UBS\UBSPIN\OPTIONS\DATAPATH. Es wird angenommen, dass es sich dabei um den PIN-Code für das Online-Banking einer bestimmten Bank handelt (lt. Heise-News-Ticker). Anschliessend startet es den Standard-Web-Browser und lädt eine Seite mit Witzen. Dies dient der Tarnung der folgenden Aktivitäten und soll wohl auch sicherstellen, dass eine Online-Verbindung besteht oder aufgebaut wird, zwecks Versand von E-Mails (und um den Titel der Mail zu rechtfertigen) Die zweite Variante des Virus linkt auf die Website einer britischen Versicherung.
Wird der genannte Registry-Schlüssel nicht gefunden (und nur dann), verbreitet sich der Wurm nun mittels MS Outlook (bzw. MAPI) an alle Adressen im Adressbuch und löscht sich anschliessend selbst.
Wird der Registry-Schlüssel hingegen gefunden (und nur dann), benutzt das Script den DOS-Befehl DEBUG, um über den Umweg einer Batch-Datei (RTX.BAT) in dem Script enthaltenen Binärcode in eine ausführbare Datei STARTX.EXE umzuwandeln. Diese enthält das Trojanische Pferd Trojan.PSW.Hooker.24.e, das nach seiner Erzeugung aufgerufen wird. Es registriert sich als Service und trägt sich in der Registry als KERNEL32.DLL ein. Es kann Tastatureingaben protokollieren, Passwörter ausspionieren und Systeminformationen ermitteln und verschickt seine gesammelten Werke (ggf. einschliesslich des o.g. PIN-Codes) per E-Mail.
Alle Dateien werden im Windows\System-Verzeichnis angelegt, dessen Pfad das Script ermittelt.

Führen Sie nie Dateien aus, die Sie per E-Mail erhalten. Deinstallieren Sie den WSH, wenn Sie ihn nicht zwingend benötigen oder ändern Sie im Explorer den Eintrag für VBS-Dateien auf Anzeigen in Notepad. Dazu können Sie auch diese REG-Datei verwenden, die das nach Doppelklick im Explorer erledigt (von NAI/McAfee).
Auch Symantec bietet ein Programm an, um den WSH auszuschalten (und bei Bedarf auch wieder ein). Dort gibt es auch (engl.) Informationen, wie der WSH vollständig entfernt werden kann.

Infos und Updates von Antivirus-Firmen zu VBS/Funny:

Derzeit (16.09.2000, morgens) erkennt nur AVP den Wurm korrekt (mit Update vom 15.09.2000 nach 17 Uhr), Norton AV erkennt ihn (auch mit nicht topaktuellem Update) als VBS/Newlove.A (aber immerhin). Nur AVP erkennt derzeit das enthaltene Trojanische Pferd (nachdem es als ausführbare Datei gespeichert wurde). VirusScan erkennt es erst, wenn man es mit UPX (einem EXE-Packer) wieder dekomprimiert hat, als 'DUNpws.bo'. Es ist davon auszugehen, dass die anderen Antivirus-Hersteller im Laufe dieser Woche (KW 38) Updates bereit stellen werden.

AVP (engl.)
Network Associates (engl.)