Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Neuer Virus Newlove: The bug is back

Neue Liebesgrüße mit integriertem Windowskiller. Kaum hat sich die Aufregung um den "I love you"-Virus wieder gelegt, bekommen PR-Agenturen, Antivirenhersteller und Systemadministratoren wieder feuchte Hände. Teils aus Aufregung, teils aus Freude, dass das lukrative Geschäft mit einer neuen und heimtückischen Variante des Virus noch lange nicht zu Ende ist.
/ Andreas Donath
Kommentare News folgen (öffnet im neuen Fenster)

Newlove basiert genau wie "I love you" auf VisualBasic Script und greift deshalb auch nur Windowsrechner an. Nach der Ausführung versucht der Virus, sich an alle Einträge im Outlook-Adressverzeichnis zu verschicken.

Der von den Virusforschern mit dem Namen VBS_NEWLOVE bedachte Fiesling ist aber wesentlich intelligenter gemacht als sein Vorgänger. Er verändert sich ständig, die Branche nennt dieses Verhalten polymorph. Neue Zeilen mit zufällig erzeugten Codes werden bei jeder Replikation hinzugefügt. Dadurch wird der Wurm nicht nur immer größer, was seiner Verbreitung im Wege steht, sondern, und das ist das Unangenehme: Er hinterlässt kein eindeutig identifizierbares Subjekt in den Wirts-E-Mails.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Die Attachments haben auch unterschiedlich benannte Dateianhänge.

Als ob dies nicht genug wäre, verhält sich der Wurm recht destruktiv, da er in allen Verzeichnissen die Dateigröße von Dateien auf 0 Bytes setzt. Damit lässt sich neben dem Datenverlust das Betriebssystem mit Bordmitteln nicht mehr starten.

Beim Start des Virus legt er unter einem per Zufall generierten Namen selbstständig eine Kopie seiner selbst im Windows- und Windows\System-Verzeichnis an.

Nun schreibt der Wurm in die Registry die Einträge:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run\ᐸWurmname>
  • HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices\ᐸWurmnameᐳ

Die Variable

ist der jeweilige Name des Wurms.

Aus dem Windows\Recent-Verzeichnis heraus verwendet der Wurm-Code nun eine der zuletzt geöffneten Dateien, um sie mit dem Dateinamenanhang .vbs zu versehen.

Das Aufbauen der Mails, die Newlove an die Einträge im Outlook-Adressbuch schicken, haben einen ähnlichen Aufbau, jedoch nicht denselben Inhalt.

Nach Angaben der Antivirenhersteller sieht eine Mail so aus:

Subject:FW:

Ein leerer Haupttext (body)

Attachment:

ist entweder der Name einer existierenden Datei im Windows\Recent-Verzeichnis oder ein zufällig erzeugter Dateiname bis zu 31 Zeichen.

ist eine der Erweiterungen .Doc.vbs, .Xls.vbs, .Mdb.vbs, .Bmp.vbs, .Mp3.vbs, .Txt.vbs, .Jpg.vbs, .Gif.vbs, .Mov.vbs, .Url.vbs, .Htm.vbs.

In einigen Fällen sind nur die Dateien im Windows- und Windows\System-Verzeichnis betroffen; in diesen Fällen überschreibt der Virus die Dateien mit 0 Bytes. Die Dateien tragen ihren früheren Namen mit der Erweiterung .vbs. (zum Beispiel wird die win.ini in win.ini.vbs umgewandelt). Manchmal führt sich dieser Teil des Wurms öfter aus, damit ergeben sich Dateien wie zum Beispiel bildname.jpg.vbs.vbs.vbs.vbs.

Die Antivirenhersteller arbeiten alle an Lösungen und dürften diese im Laufe des Tages in ihre Virensignaturen integriert haben.

Zur Startseite Kommentare

Relevante Themen

SoftwareToolsSecurityDatensicherheitVirusAnti-VirusApplikationen