I-Worm.Myba (MyBabyPic)

Auch wenn der Wurm auf Teilen des LoveLetter-Quellcodes basiert, handelt es sich beim I-Worm.Mybabypic nicht um eine VBS-Datei, sondern um eine Programmdatei mit der Endung EXE, die in VisualBasic geschrieben wurde. Die Mail trifft mit dem Betreff "My baby pic !!!" ein und trägt den Mail-Text "Its my animated baby picture !!". Wird die Beilage namens "mybabypic.exe" ausgeführt, zeigt der Wurm tatsächlich ein ziemlich primitives animiertes Bild an. Nun kopiert er sich mit verschiedenen Dateinamen in den Windows System-Ordner: WINKERNEL32.EXE, MYBABYPIC.EXE, WIN32DLL.EXE, CMD.EXE, COMMAND.EXE. Hierbei wird die bereits vorhandene Original-Datei CMD.EXE überschrieben. Diese benötigt Windows, um DOS-Fenster zu öffnen. Der Wurm schreibt sich auch in die Windows Registry, und zwar mit den folgenden Keys:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WINKernel32, "C:\WINDOWS\SYSTEM\WINKernel32.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\mybabypic, "C:\WINDOWS\SYSTEM\mybabypic.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices, "C:\WINDOWS\SYSTEM\Win32DLL.exe"

Zehn Minuten später verschickt er Mails mit den selben Merkmalen an alle Einträge des Outlook Adressbuchs. Als "Erfolgsmarke" schreibt er die folgenden Schlüssel in die Registry:

HKEY_CURRENT_USER\software\Bugger, "HACK"

HKEY_CURRENT_USER\software\Bugger\mailed with a value from "0" to "3".

Je nach Systemdatum und -zeit versucht er, seine verschiedenen Schadensfunktionen auszuführen. Dies sind folgende:

Ein- oder Ausschalten von NumLock, CapsLock und ScrollLock. Einfügen der Zeichenfolge ".IM_BESIDES_YOU_" in das gerade bearbeitete Dokument. Zeitweise verbindet sich der Wurm mit einer Hacker-Webseite und hängt an die URL kurze Texte an, z.B. "HAPPY VALENTINES DAY FROM BUGGER".

Viel ärgerlicher ist aber das, was er mit bestehenden Dateien anstellt: Den Inhalt von VBS- und VBE-Dateien zerstört er ganz. Andere Dateien ersetzt er durch eine Kopie von sich selber und hängt eine EXE-Endung dran. Davon sind diese Dateitypen betroffen: JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H, JPG und JPEG. Bei MP2, MP3 und M3U-Dateien kreiert der Wurm Dateien mit den selben Namen. Diesen hängt er ebenfalls eine Endung EXE an, lässt die Originale aber stehen, versieht sie allerdings mit dem Dateiattribut "versteckt".

Info auch bei F-Secure [1] oder TrendMicro [2]. Letztere haben ein Tool bereitgestellt, das die veränderten Registry-Einträge und die vom Wurm platzierten Dateien entfernt.