"Jennifer Lopez"-Wurm richtet großen Schaden an

Neuer VB-Script-Wurm versendet sich über das Outlook-Adressbuch. Wie Sophos, ein Hersteller von Anti-Viren-Software, mitteilt, ist ein neuer I-Love-You-Ableger aufgetaucht: Der VB-Script-Wurm "VBS.Lopez.A@mm" lockt mit Nacktbildern von Jennifer Lopez, sorgt dann aber für hohe Datenverluste auf dem Rechner. Er überschreibt etliche Dateitypen und infiziert den Rechner außerdem mit dem Chernobyl-CIH-Virus.

1. Juni 2001 um 09:45 Uhr / Ingo Pakalski

Kommentare News folgen (öffnet im neuen Fenster)

Der Wurm verbreitet sich über das Adressbuch von Microsoft Outlook, indem es sich an alle enthaltenen Einträge versendet. Die E-Mail, die der Wurm verschickt, trägt den Betreff "Where are you?" und behauptet im Mail-Text: "This is my pic in the beach!". Angehängt an die E-Mail ist eine Datei mit dem Namen "JENNIFERLOPEZ_NAKED.JPG.vbs", wobei die VBS-Endung in manchen E-Mail-Clients nicht angezeigt wird und man so glaubt, ein ungefährliches JPG-Bild zu öffnen.

Außer der Verbreitung über das Outlook-Adressbuch sorgt der Wurm auch für gehörigen Schaden am PC. Er fahndet auf allen lokalen Festplatten und angeschlossenen Netzwerk-Laufwerken nach Dateien mit den Endungen VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, KPG, JPEG, MP2 und MP3, wovon dann die meisten vom Wurm überschrieben und damit gelöscht werden. Die Dateien mit den Endungen JS, JSE, CSS, WSH, SCT und HTA erhalten die Endung VBS. Bilder der Typen JPG und JPEG bekommen hingegen ein JPG.VBS respektive JPEG.VBS verpasst. Nur MP2- und MP3-Dateien löscht der Wurm nicht, sondern versteckt diese nur. Dann legt er sich unter gleichem Namen an, allerdings mit der Endung VBS versehen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Informatiker*in für die Mitarbeit im Labor Rechenzentrum Informatik HAW Hamburg, Hochschule für Angewandte Wissenschaften, Hamburg,Homeoffice (öffnet im neuen Fenster)

IT-Administrator (m/w/d) SEEHAFEN KIEL GmbH & Co. KG, Kiel (öffnet im neuen Fenster)

IT System Engineer TK-GPT (m/w/d) Techniker Krankenkasse, Hamburg (öffnet im neuen Fenster)

Infrastruktur- und Datenarchitekt (m/w/d) Bonn-Netz GmbH, Bonn (öffnet im neuen Fenster)

IT-Administrator (m/w/d) Sparkasse Altenburger Land, Altenburg (öffnet im neuen Fenster)

(Senior) IT Solution Architect & Process Consultant (m/w/d) ABG FRANKFURT HOLDING GmbH Wohnungsbau- und Beteiligungsgesellschaft mbH, Frankfurt am Main (öffnet im neuen Fenster)

Senior Data Architect (m/w/d) Bucher Hydraulics Erding GmbH, Unterföhring (öffnet im neuen Fenster)

IT-Systemadministrator (m/w/d) mit Schwerpunkt Microsoft 365 bitformer GmbH, Leipzig,Braunschweig,Recklinghausen (öffnet im neuen Fenster)

Darüber hinaus infiziert der Wurm den Rechner mit einer Variante des CIH-Virus , der auch unter der Bezeichnung Chernobyl-Virus sein Unwesen treibt. Der CIH-Virus versucht, Flash-BIOSe zu überschreiben sowie den Inhalt von Festplatten zu löschen und wird immer am 26. eines jeden Monats aktiv.

Wird der Dateianhang gestartet und der Wurm damit aktiviert, erzeugt er in der Windows-Registry einen Autostart-Eintrag und fügt unter HKEY_CURRENT_USER\Software den Eintrag JENNIFERLOPEZ_NAKED mit dem Copyright-Vermerk "Worm made in Algeria" hinzu.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Relevante Themen