VBS.LoveLetter/I love you

Der VBS-Wurm, bekannt unter dem Namen LoveLetter, verbreitet sich über zahlreiche Mail-Programme. Die Betreffzeile der Mail lautet: "I LOVE YOU", im Mail-Text heisst es: "kindly check the attached LOVELETTER coming from me." und die beigelegte VBS-Datei trägt den Namen "LOVE-LETTER-FOR-YOU.TXT.vbs".

Wenn die VBS-Datei ausgeführt wird, kopiert er die Dateien "MSKernel32.vbs" und "LOVE-LETTER-FOR-YOU.TXT.vbs" in den System-Ordner und die Datei "Win32DLL.vbs" in den Windows-Ordner. Danach legt er folgende zwei Registry-Schlüssel an, um sicherzustellen, dass er bei jedem Windows-Start geladen wird:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL

Anschliessend ersetzt der Wurm die Startseite des Internet Explorers durch einen Link zu einer ausführbaren Datei namens "WIN-BUGSFIX.exe", die beim Start des Browsers heruntergeladen und ebenfalls in der Registry eingetragen wird. Eine weitere Datei, die auf dem befallenen Computer erstellt wird, ist eine HTML-Datei mit dem Namen "LOVE-LETTER-FOR-YOU.HTM", die den eigentlichen Wurm-Code enthält.

Falls der Benutzer einen IRC-Channel (Internet Relay Chat) besucht, versucht sich der Wurm über diesen Weg weiterzuverbreiten. Die höchste Verbreitung gelingt ihm aber über Outlook, indem er sich an alle Einträge des Adressbuches schickt.

Der sich stark verbreitende Wurm hat noch einen Schadensteil:

Er sucht auf der Festplatte nach Dateitypen wie *.vbs, *.vbe, *.js, *.jse, *.css, *.wsh, *.sct und *.hta und überschreibt sie mit eigenem Code.

Des weiteren versucht er den Benutzer zu falschen Klicks zu verleiten, indem er bestehende Dateinamen kopiert. Wenn er beispielsweise eine Datei namens Bild1.JPG findet, erstellt er daneben eine Datei mit dem Namen Bild1.JPG.VBS, in der Hoffnung, dass der Benutzer die falsche Datei doppelklickt. Dies tut der Wurm mit Dateien, welche die Endungen jpg, jpeg, mp3 und mp2 tragen.

Der grösste Schaden durch diesen Wurm entsteht durch dessen hohe und rasend schnelle Verbreitung. Viele Mail-Server werden dadurch hoffnungslos überlastet und könnten vorübergehend ausfallen.

Sehr viele Hersteller von Antivirenprogrammen haben innert kürzester Zeit neue Patterns gegen diesen Schädling zur Verfügung gestellt. Info bei Ikarus [1], F-Secure [2], TrendMicro [3] und bei fast jedem anderen Virenbekämpfer.