|
|
Hallo alle zusammen,
vor 2 Tagen erreichte uns Fachhändler folgende Information von unserem Software-Antivirus-Lieferanten:
auf grund einer neuen virenmeldung öffnen wir einen sonderaccount, bitte informieren sie alle bekannten und verwandten:
VBS/LoveLetter.A@mm
Zusammenfassung:
Beim VBS/LoveLetter.A handelt es sich um einen Wurm, der sich selbst per email verbreitet. Einmal gestartet versendet sich der Wurm an sämtliche Einträge im Windows-Adressbuch (privates und öfffentliches Adressbuch) und löscht /befällt diverse Dateien auf dem Rechner. Durch die Art der Verbreitung ist der Wurm als ausserordentlich gefährlich einzustufen.
Beschreibung:
Damit der Wurm auf einem Rechner aktiv werden kann, muss Windows Scripting Host installiert sein. Dies ist standardmäßig bei Win 95/98 Rechnern der Fall; bei Win NT muss mind. Internet Explorer 5 installiert sein. Durch das Doppelklicken des Dateianhangs wird das VBS-Skript ausgeführt und der Wurm versendet sich selbst.
Im Hintergrund löscht der Wurm sämtliche Dateien mit der Endung .JPG respektive .JPEG und erstellt eine neue Datei unter dem selben Namen; jedoch mit der Endung .JPG.VBS . Ausserdem werden sämtliche VBS-Dateien, welche auf dem Rechner vorhanden sind, mit dem Wurm überschrieben. Anschliessend wird die Startseite des Internet-Explorers auf "blank" gesetzt.
Nach einer erfolgreichen Infektion versucht der Wurm, eine Verbindung mit einem Webserver herzustellen und eine ausführbare Programmdatei herunterzuladen. Da dieser Server zur Zeit nicht erreichbar ist, können wir nur vermuten, dass es sich bei dieser Datei um einen anderen Virus oder Trojaner handelt.
Falls mIRC (ein Internet Chat-Programm) installiert ist, werden diese Programmdateine so verändert, dass sich der Wurm über eine geöffnete Chat-Verbindung automatisch verbreitet.
Erkennung und Entfernung:
Norman Virus Control mit dem neuesten Scanengine- und Signaturenupdate erkennt den Wurm. Zur Entfernung sind allerdings folgende schritte notwendig:
1. Löschen Sie sämtliche infizierten Dateien
2. Starten Sie REGEDIT und entfernen Sie folgende Einträge:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX
Die gelöschten Dateien lassen sich unter Umständen wiederherstellen. Falls wichtige Dateien gelöscht wurden, welche noch benötigt werden, können Sie unter Umständen eine Datenrettung durch führen. Kontaktieren Sie hierzu Ihre lokale Norman-Niederlassung. Bitte beachten Sie, dass sich diese Anleitung in den nächsten Stunden ncoh verändern kann. Es ist deshalb empfehlenswert, unserer HP regelmässig einen Besuch abzustatten. WWW.Promus.de
ACHTUNG:
Dies ist kein schlechter Scherz - wir sind EDV-Fachhändler und haben diese Mail von unserem Antivirus-Software-Lieferanten bekommen. Der Virus ist sei 2 Tagen im Umlauf
Bitte macht eure Updates bei eurem jeweiligen Antivirus-Software-Lieferant.
Nur so zur Info
Moni
|
