VBS.Haptime

Über Microsoft Outlook und Outlook Express verbreitet sich der Wurm "Haptime" (Happy Time) [1]. Die Beilage heisst in der einen Variante UNTITLED.HTM, in einer anderen heisst sie INSTLOG.HTM. Bei Benutzern, die Outlook Express verwenden und den Sicherheitspatch "Scriptlet.TypeLib" [2] nicht installiert haben, führt sich die Wurm-Beilage beim Anzeigen der Mail-Vorschau automatisch aus - wohlbemerkt: ohne Doppelklick auf die Beilage.

Haptime legt auf der Festplatte Dateien im Format VBS, HTM oder HTA ab und erstellt einen Zähler in der Registry. Danach durchsucht er sowohl die lokale Festplatte als auch allfällige verbundene Netzlaufwerke nach Dateien mit den Endungen HTM, VBS, ASP sowie HTT und infiziert diese mit dem eigenen Code. Er verschickt sich an jede Mail-Adresse, die er in diesen Dateien findet.

Für jede infizierte Datei wächst der vorhin erstellte Zähler um den Wert "1" an. Hat der Zähler 366 oder ein Vielfaches davon erreicht, verschickt sich der Wurm mit dem Betreff "HELP" an alle Adressen im Posteingang und alle im Adressbuch.

Um bei jedem PC-Start automatisch geladen zu werden, ersetzt der Wurm den Desktop-Hintergrund durch eine verseuchte Datei HELP.HTM.

Viel Ärger bekommt der infizierte Computer, wenn die Summe von Tag und Monat die Zahl 13 ergibt. Dann versucht Haptime, alle EXE und DLL-Dateien zu löschen.

Gemäss Beschreibung von F-Secure [3] kam der Wurm zum Namen "Happy Time" oder "Haptime", weil in dessen Quellcode dies drinsteht: "I am sorry! happy time". Und das Virenlabor von TrendMicro bietet in seiner Beschreibung [4] des Wurms eine Anleitung, wie Benutzer infizierte PCs reinigen können.

Auf den Virenscanner alleine sollten Sie sich bei der Prävention nicht verlassen. Setzen Sie lieber auf die richtigen Sicherheits-Einstellungen. Lesen Sie zu diesem Thema auch den Artikel "Die PC-Festung" aus dem PCtip 06/2001 (ab Seite 48), den Sie als PDF-Datei [5] in unserem Archiv finden.