News 11.09.2000, 13:00 Uhr

VBS.Elva.Worm und W97M/Elva.Worm

Bei Elva handelt es sich um einen Visual Basic Script Wurm, der sich sowohl über Microsoft Outlook als auch über Microsoft Word verbreitet.
Elva [1] ist ein Visual Basic Script Wurm, der sich sowohl über Microsoft Outlook als auch über Microsoft Word verbreitet. Zuerst trifft eine E-Mail ein mit dem Betreff "BIRTHDAY CARD !!!", gefolgt vom Mail-Text: "Hello Jo, Happy birthday ELVA forever. This I made birthday card for you. Please open it and I hope you like."
Der Virencode sitzt in einer HTML-Beilage namens CARD.HTA. Öffnet ein Benutzer diese Beilage, platziert der Virus zwei identische Dateien (FS.VBE und FS.VBS) im Windows System-Ordner. Elva verändert die Registry, damit FS.VBS beim PC-Start automatisch ausgeführt wird. Der Wurm schaltet in MS Word 2000 den Makrovirenschutz aus und blockiert allfällige ActiveX-Warnungen.
Elva arbeitet übrigens "doppelspurig": Beim ersten Ausführen des Virus wird der VBS-Code auch in die Normal.dot eingefügt, weshalb ihm auch Word-Dateien als Weiterverbreitungs-Weg zur Verfügung stehen.
Dateien mit Endungen wie .JS, .JSE, .GIF, .JPG, .MP3, .WSH, .WSF, .WSC, .SHS, und .SCT werden dem selben Programm zugewiesen wie die VBS-Dateien, normalerweise also dem Windows Scripting Host. Zudem fügt der Schädling dem Favoriten-Ordner einen Link zu einer Webseite einer Pop-Sängerin namens Elva hinzu. Zu guter Letzt versendet sich Elva (der Wurm) an alle Adressen im Outlook Adressbuch.


Kommentare

Es sind keine Kommentare vorhanden.