Extra-Blatt

Virus/Wurm: VBS/Loveletter (I-Worm.LoveLetter)

VBS-Virus/Wurm breitet sich rasend schnell aus

Ein Script-Virus, das sich per E-Mail versendet, breitet sich seit 04.05.2000 mit großer Geschwindigkeit weltweit aus.
Folgende Varianten sind bislang bekannt (diese Beschreibung bezieht sich auf die erste Variante, trifft aber weitgehend auch auf die anderen zu):

[zum Ende dieser Liste]

Virusname:  Loveletter.a
Subject:    ILOVEYOU
Message:    kindly check the attached LOVELETTER coming from me.
Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs

Subject:    ILOVEYOU
Message:    (keine)
Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs

Virusname:  Loveletter.b
Subject:    Susitikim shi vakara kavos puodukui...
Message:    kindly check the attached LOVELETTER coming from me.
Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs

Virusname:  Loveletter.c
Subject:    Joke
Message:    kindly check the attached LOVELETTER coming from me.
Attachment: Very Funny.vbs

Subject:    fwd: Joke
Message:    kindly check the attached LOVELETTER coming from me.
Attachment: Very Funny.vbs

Virusname:  Loveletter.e
Subject:    Mothers Day Order Confirmation
Message:    We have proceeded to charge your credit card for the amount
            of $326.92 for the mothers day diamond special. We have attached
            a detailed invoice to this email. Please print out the attachment
            and keep it in a safe place.Thanks Again and Have a Happy
            Mothers Day! mothersday@subdimension.com
Attachment: mothersday.vbs

Virusname:  Loveletter.f
Subject:    Dangerous Virus Warning
Message:    There is a dangerous virus circulating.
            Please click attached picture to view it and learn to avoid it.
Attachment: virus_warning.jpg.vbs

Virusname:  Loveletter.g
From:       support@symantec.com  (gefälscht!)
Subject:    Virus ALERT!!!
Message:    (Ein längerer Text über VBS/LoveLetter.a)
Attachment: protect.vbs

Virusname:  Loveletter.i
Subject:    Important! Read carefully!!
Message:    Check the attached IMPORTANT coming from me!
Attachment: Important.TXT.vbs
Schaden:    überschreibt: .mpg, .mpeg, .avi, .qt, .qtm

Virusname:  Loveletter.j
Subject:    How to protect yourself from the IL0VEY0U bug!
Message:    Here's the easy way to fix the love  virus.
Attachment: Virus-Protection-Instructions.vbs

Virusname:  Loveletter.k
Subject:    Thank You For Flying With Arab Airlines
Message:    Please check if the bill is correct, by opening the attached file
Attachment: ArabAir.TXT.vbs
Schaden:    überschreibt: .dll, .exe (statt .jpg, .jpeg)
            versteckt: .dll, .sys (statt .mp2, .mp3)

Virusname:  Loveletter.m
Subject:    Bewerbung Kreolina
Message:    Sehr geehrte Damen und Herren!
Attachment: BEWERBUNG.TXT.vbs

Virusname:  Loveletter.n
Subject:    LOOK!
Message:    hehe...check this out.
Attachment: LOOK.vbs

Virusname:  Loveletter.q
Subject:    Yeah, Yeah another time to DEATH...
Message:    This is the Killer for VBS.LOVE-LETTER.WORM.
Attachment: Vir-Killer.vbs
Schaden:    löscht: .zip, .rar
            versteckt: .asm, .pas

Virusname:  Loveletter.r
Subject:    PresenteUOL
Message:    O UOL tem um grande presente para voce, e eh exclusivo.
            Veja o arquivo em anexo. Http://www.uol.com.br
Attachment: UOL.TXT.vbs
Schaden:    versteckt auch Dateien mit den Endungen .exe, .com und .ini

Virusname:  Loveletter.t
Subject:    Recent Virus Attacks-Fix
Message:    Attached is a copy of a script that will reverse
            the effects of the LOVE-LETTER-TO-YOU.TXT.vbs as
            well as the FW:JOKE, Mother's Day and Lithuanian siblings.
Attachment: BAND-AID.DOC.VBS
Schaden:    löscht: .bat, .gif, .tif, .tiff, .wav, .lnk, .bak, .doc, .xls,
            .rtf, .txt, .htm, .html, .xml, .mny, .zip, .bmp, .cab, .inf
            .mp2, .mp3 werden nicht versteckt, sondern gelöscht

Virusname:  Loveletter.u
Subject:    I Cant Believe This!!!
Message:    I Cant Believe I have Just Recieved This
            Hate Email .. Take A Look!
Attachment: KillEmAll.TXT.VBS
Schaden:    überschreibt: .gif, .bmp (statt .jpg, .jpeg)
            versteckt: .wav, .mid (statt .mp2, .mp3)

Virusname:  Loveletter.w
Subject:    IMPORTANT: Official virus and bug fix
Message:    This is an official virus and bug fix. I got it from
            our system admin. It may take a short while to update
            your system files after you run the attachment.
Attachment: Bug and virus fix.vbs
Schaden:    überschreibt .exe, .com, .dll, .sys, .pwl, .txt

Virusname:  Loveletter.x
Subject:    NEUE ANTI-VIRUS-LISTE
Message:    Hiermit senden wir Ihnen/Dir eine neue Liste mit
            LOVE-LETTER-VIRUS Namen, die nicht geoeffnet werden
            sollten, bitte sofort lesen, danke.
Attachment: ANTI-VIRUS-LISTE.TXT.vbs
Schaden:    überschreibt: .mdb, .pdf, .wsh, .dot, .hta, .js, .drv, .ini
            versteckt: .xls, .doc

Virusname:  Loveletter.aj
Subject:    Virus Warnings !!!
Message:    VERY IMPORTANT PLEASE READ THIS TEXT.
            TEXT ATTACHMENT.
Attachment: very-important-txt.vbs
Anmerkung:  Text enthält drei Hoaxes (Celcom Screensaver, Sandman's Homepage, Win A Holiday)
Schaden:    überschreibt: .js, .doc, .txt, .hta, .vbs
            versteckt: .mp3, .mp2
 
Virusname:  Loveletter.as (Alias: VBS/Plan, VBS.Colombia)
Subject:    US PRESIDENT AND FBI SECRETS =PLEASE VISIT => (http://WWW.2600.COM)<=
Message:    VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PICTURES..
Attachment: unterschiedlich (Endungen: .GIF.vbs; .BMP.vbs; .JPG.vbs)
Anmerkung:  Subject und/oder Message können auch nur aus einer zufälligen Zeichenfolge
            bestehen, Länge: 6 (Subject) bzw. 10 (Message) Zeichen;
	    versucht, drei weitere Dateien aus dem Internet zu laden, diese existieren
	    jedoch nicht mehr.
Schaden:    wie Loveletter.a, plus: trennt Netzwerklaufwerke E: - Z:
Mehr Infos: bei AVP

Virusname:  Loveletter.bd
Subject:    Resume
Message:    (keine)
Attachment: resume.txt.vbs
Schaden:    spioniert PIN-Software einer Schweizer Bank aus;
            lädt Trojanisches Pferd aus dem Internet (beides ähnlich wie VBS/Funny)
Mehr Infos: bei Symantec und NAI/McAfee

Virusname:  Loveletter.bg
Subject:    Ya no mas PRI
Message:    Si usted es listo ya no vote por el PRI, vote por mi.
            Cuatemochas 2000.
Attachment: VIVE-LA-VIDA-LOCA.vbs
 
Virusname:  Loveletter.cd
Subject:    C'è una cartolina per te!
Message:    Ciao, un tuo amico ti ha spedito una cartolina virtuale... mooolto particolare!
Attachment: cartolina.vbs
Schaden:    ändert die Startseite im Internet Explorer 
Mehr Infos: bei NAI/McAfee
 
Virusname:  Loveletter.cg
Subject:    IMPORTANT CORPORATE NEWS
Message:    Please find enclosed a link to the vital company news released today.
            Please open this link, print out the enclosed document 
            and distribute to all staff not on E-Mail
Attachment: IMPORTANT-COMPANY-NEWS.HTM.vbs
Schaden:    wie Loveletter.a 
Mehr Infos: bei Sophos
 
Virusname:  Loveletter.cn (Sophos: Loveletter.cm)
Subject:    Where are you?
Message:    This is my pic in the beach!
Attachment: JENNIFERLOPEZ_NAKED.JPG.VBS
Schaden:    löscht VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, KPG, JPEG und 
            JPG, versteckt MP3, MP2; legt CIH-Virus in Datei CIH_14.EXE 
            im Windows-Verzeichnis ab und startet diese Datei
Mehr Infos: bei Trend Micro (dt.), NAI/McAfee (engl)

Subject:    A killer for VBS/LoveMail and VBS/Kak worm
Message:    Start the attachment to clean all your files and hard discs.
Attachment: viruskiller.vbs

Subject:    New Variation on LOVEBUG Update Anti-Virus!!
Message:    There is now a newer variant of love bug. It was released
            at  8:37 PM Saturday Night. Please Download the following
            patch. We are trying to isolate the virus. Thanks Symantec.
Attachment: antivirusupdate.vbs

Virusname:  VBS/NewLove
Mehr Infos: Extra-Blatt

Es existieren weitere, geringfügig abweichende Varianten.
Es werden auch weiterhin neue entdeckt...

Quelle: Andreas Marx (VHM) und Eric Chien (SARC, VHM)

Im Attachment (Dateianhang, 10 kb) steckt das Virus. Es ist in VBS (Visual Basic Script) geschrieben und funktioniert daher nur auf Windows-Rechnern, auf denen der Windows Scripting Host (WSH) installiert ist. Dies sind typischerweise (aber nicht nur!) Rechner mit Windows 98 oder Windows 2000. Dazu kommen Rechner (auch mit Windows 95 oder NT) mit installiertem Internet Explorer 5.0 und neuer.

Im folgenden die Beschreibung für Loveletter.a:
Das Virus legt mehrere Dateien in verschiedenen Verzeichnissen ab, die es zum Teil mittels Internet Explorer von einer von vier Webadressen herunter lädt:

Windows-Verzeichnis:
Win32DLL.vbs

Windows\System-Verzeichnis:
MSKernel32.vbs
LOVE-LETTER-FOR-YOU.TXT.vbs

im Internet Download Verzeichnis:
WinFAT32.EXE
WIN-BUGSFIX.EXE (wird aus dem Internet nachgeladen)

Im Programm-Verzeichnis von mIRC:
script.ini

Letztere dient der Verbreitung via IRC, wo das Virus als 'LOVE-LETTER-FOR-YOU.HTM' verbreitet wird. Die beiden erstgenannten werden an den üblichen Stellen ('Run', 'RunServices') in die Registry eingetragen, sodass sie bei jedem Windowsstart geladen werden. Nach dem Download der o.g. Datei wird die Startseite im Internet Explorer auf [about:blank] (leere Seite) gesetzt. Diese EXE-Datei enthält ein Trojanisches Pferd, das Passwörter ausspioniert. Diese versendet er per E-Mail:

  From: goat1@192.168.0.2
  To: mailme@super.net.ph
  Subject: Barok... email.passwords.sender.trojan
  X-Mailer: Barok... email.passwords.sender.
  trojan---by: spyder
  Host: [machine name]
  Username: [user name]
  IP Address: [victim IP address]

  RAS Passwords:...[victim password info]
  Cache Passwords:...[victim password info]

VBS/Loveletter verschickt sich einmal an alle E-Mail-Adressen im Windows-Adressbuch.

Es überschreibt Dateien der Typen: vbs, vbe, js, jse, css, wsh, sct, hta mit dem eigenen VBS-Code und löscht Dateien der Typen jpg und jpeg. Sie werden durch gleichnamige Dateien ersetzt, die um die Endung '.vbs' ergänzt werden und ebenfalls den Virus-Code enthalten, Beispiel meinbild.jpg wird zu meinbild.jpg.vbs. Je nach Einstellung im Explorer fällt das gar nicht unbedingt auf. Die Daten der ehemaligen Dateien sind unter günstigen Umständen nicht verloren (so sie nicht inzwischen überschrieben wurden). Dateien der Typen mp2, mp3 werden nicht gelöscht oder überschrieben, sondern nur versteckt, in dem sie mit dem Dateiattribut +h (hidden) versehen werden. Wie bei jpg werden Dateien mit der zusätzlichen Endung .vbs erzeugt, die ansonsten den gleichen Namen haben wie die versteckten, aus mysong.mp3 wird also mysong.mp3.vbs. Sie enthalten auch ebenso den Virus-Code.

Dies ist kein Hoax.
Siehe auch die Ausgabe 3/2000 des Hoax-Info Newsletter.

Die meisten Hersteller von Antivirussoftware haben noch am Donnerstag, dem 04.05.2000 Updates für ihre Software bereitgestellt und/oder bieten spezielle Einzelremover an.

Achtung! Es werden teilweise auch angebliche Tools zum entfernen von VBS/Loveletter herumgeschickt, die jedoch das Virus selbst enthalten (und nichts anderes). Vertrauen Sie besser nur den (ebenfalls kostenlos angebotenen) Tools renommierter Firmen.

Infos, Updates und Remover von Antivirus-Firmen zum Loveletter-Virus:

Führen Sie nie Dateien aus, die Sie per E-Mail erhalten. Deinstallieren Sie den WSH, wenn Sie ihn nicht zwingend benötigen oder ändern Sie im Explorer den Eintrag für VBS-Dateien auf Anzeigen in Notepad. Dazu können Sie auch diese REG-Datei verwenden, die das nach Doppelklick im Explorer erledigt (von NAI/McAfee bereitgestellt).
Auch Symantec bietet ein Programm an, um den WSH auszuschalten (und bei Bedarf auch wieder ein). Dort gibt es auch (engl.) Informationen, wie der WSH vollständig entfernt werden kann.
Bitte lesen Sie vor der Verwendung die beigefügte Dokumentation (engl.).