VBS.Elva.Wurm - Und noch ein LoveLetter-Abkömmling
Wie der LoveLetter kommt das Elva-Virus als Dateianhang, allerdings mit dem Namen card.hta und dem Betreff "Birthday Card". Die Mail enthält zudem folgenden Text:
Hello Jo, Happy birthday ELVA forever. This I made birthday card for you. Please open it and I hope you like
Solange das angehängte Script nicht per Hand oder z.B. von Microsoft Outlook automatisch ausgeführt wird, besteht keine Gefahr. Wenn dies doch geschieht, dann verbreitet sich Elva selbst über das Mailprogramm an alle im Adressbuch eingetragenen E-Mail-Adressen.
Das ist jedoch noch nicht alles. Im Falle einer Infektion nimmt das Virus sofort einige Änderungen in der Registry vor, legt die Datei FS.VBE an und kopiert diese danach in das Windows\SYSTEM\-Verzeichnis als FS.VBS. Danach legt es die Datei \CARD.HTA an und speichert diese ebenfalls im Systemverzeichnis ab. Weiterhin wird die Datei Fs.com angelegt, in welcher ein einziger Befehl gespeichert und sofort ausgeführt wird. Dieser Befehl bewirkt, dass ein MS-DOS-Fenster kurz geöffnet und sofort wieder geschlossen wird.
Ansonsten verhält sich das Virus ausgesprochen unverdächtig, bis auf den 24. eines jeden Monats, an dem es folgende Meldung am Bildschirm ausgibt:
-=Happy birthday=- I love ELVA 4 ever
Danach fügt das Virus folgende Internetadresse zu den Favoriten in Ihrem Browser hinzu: http://www.jasonnet.cc/elva. Eine weitere Schadensroutine besteht darin, dass Elva Macrocodes in die globale Vorlage (normal.dot) von Word schreibt und dadurch in der Folge jedes weitere Worddokument ebenfalls infiziert wird. Elva durchsucht alle Festplatten nach *.vbs-Dateien und überschreibt diese mit seinem Code.
Drei Tage später durchsucht Elva wieder alle Festplatten, um – ähnlich wie der LoveLetter – Dateien mit Endungen vbs, vbe js, jse, wsh, wsf, wsc, gif, jpg und mp3 mit sich selbst zu überschreiben, anschließend als ausführbare Dateien zu deklarieren und sich bei jedem direkten Aufruf munter weiter zu verbreiten.
Das Virus infiziert damit so viele unterschiedliche Datei-Typen, dass die Standardeinstellungen aller Virenscanner nicht dazu ausreichen werden, diese aufzuspüren. Deswegen müssen hier möglichst alle Dateien untersucht werden.
Damit es jedoch gar nicht erst zu der "Infektion" kommen kann, sollten Windows-Anwender möglichst den WindowsScripting Host deaktivieren bzw. deinstallieren – damit wird jedes Visual-Basic-basiertes Ungeziefer wirksam geblockt. Das ist zudem sicherer, als nur das Outlook-Sicherheitsupdate zu installieren. Auf selbiges sollte man jedoch trotzdem nicht verzichten. Zudem ist ein Update des Virenschutzprogamms empfehlenswert, damit es den VBS.Elva.Wurm enttarnen und vernichten kann.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.