"Love Letter" ist ein gefährliches Virus

Ganz Europa ist mit dem Mail-Virus befallen. Geschädigt ist die gesamte Palette der Computerwelt: ILOVEYOU treibt sein Unwesen auf den Rechnern von Großunternehmern sowie von Privatanwendern, Exchange-Server bleiben stehen, Firmen schalten ihre Mail Gateways vorsorglich ab. Welcher Schaden bei zusammengebrochenem Mail-Verkehr ensteht, ist noch gar nicht abzusehen. Wie schnell reagieren Hersteller von Virenscannern? Network Associates, mit den Unternehmensteilen Dr.Solomons und McAfee mit der Herstellung von Virenscannern beschäftigt, hat seit dem späten Vormittag auf der Seite Dr.Solomons eine Datei für ihre Kunden zur Verfügung gestellt. Diese Software erkennt und entfernt den Virus, der zur Zeit aber noch nicht vollständig analysiert ist: Man arbeitet noch an der Analyse der Dateien, die sich ILOVEYOU aus dem Internet lädt.

Das Virus geht im Detail folgendermaßen vor: Es wird als Attachment mit einer E-Mail unter dem Namen "Love-Letter-for-you" übertragen. Öffnet man dieses Attachment unter Windows, so kopiert es sich selbst in Dateien mit dem Namen "mskernel32.vbs", "win32dll.vbs" und dem bekannten "Love-Letter-for-you.txt.vbs" in das Windows und das Systemverzeichnis. Die beiden erstgenannten Dateien werden dann noch so in die Registry eingetragen, dass sie beim nächsten Start von Windows ausgeführt werden.

Als nächstes sucht das Virus die Datei "winfat32.exe", die aber nicht standardmäßig zu Windows gehört. Findet es sie nicht, verändert es die Startseite des Internet-Explorers so, dass eine exe-Datei aus dem Netz heruntergeladen wird. Falls die Datei heruntergeladen wurde, wird sie ebenfalls in der Registry eingetragen. Wahrscheinlich enthält diese ein weiteres Virus, möglicherweise auch eine sogenannte backdoor, eine Hintertür, die den Rechner für Angriffe von aussen öffnet, wobei wahrscheinlich die zuvor gesuchte Datei erstellt wird.

Das Virus erzeugt dann die Datei mit dem Namen "Love-Letter-for-you.htm". Diese Datei wird dann, falls möglich über das Chat-Programm IRC an alle eingetragenen Mitglieder verschickt.

Über MS-Outlook verschickt es an alle eingetragenen Adressen die E-Mail, mit der es selbst auf den Rechner gelangt ist.

Um den Ärger zu vervollständigen, durchsucht das Virus den betroffenen Rechner nach Dateien mit verschiedenen Endungen. Darunter fallen viele script-Dateien, aber auch Dateien mit den Endungen mp3, mp2, jpg und jpeg. Diese werden überschrieben und mit der Endung vbs versehen. Die Originaldateien sind gelöscht und verloren.

AFP/Daniel Drews/Steffen Pospischil