VBS/Stages.A

Der neue Wurm namens "VBS/Stages.A" wendet bei der Verbreitung einen hinterhältigen "Trick" an: Wie VBS/Loveletter kommt das schädliche Mail-Attachment mit einer doppelten Datei-Endung an. Dabei wird aber im Gegensatz zum Vorgänger die eigentliche Endung (diesmal SHS statt VBS) ausgeblendet. Als Attachment-Icon (Symbol) wird jenes einer normalen Text-Datei angezeigt, die normalerweise keine Viren enthalten kann.Die Merkmale dieser ersten Version des SHS-Virus, den die Antiviren-Hersteller "VBS/Stages.A" nennen, sind:

Betreff: Ein Mix aus den Worten "Fw:", "Life Stages", "Funny", "Jokes" und "text".

Mail-Text (nicht zwingend): The male and female stages of life.

Name der Mail-Beilage: LIFE_STAGES.TXT.SHS, wobei die zweite - eigentliche - Endung "SHS" bei manchen Mail-Programmen ausgeblendet wird.

Als Verbreitungswege benutzt Stages Programme wie MS Outlook, Pirch, mIRC und sogar verknüpfte Laufwerke. Zum Schadens-Teil wurde bisher folgendes bekannt: Der Wurm verändert die Registry, damit er bei jedem PC-Start geladen wird. Ebenso will er beim Starten von ICQ mitgeladen werden, weshalb er die Registry auch in dieser Hinsicht manipuliert. Ferner wird die Datei Regedit.exe in Regedit.vxd umbenannt und in C:\Recycled verschoben. Zusätzlich werden in verschiedenen Ordnern weitere Dateien erstellt. Die Dateinamen können abwechslungsweise folgende sein:

c:\WINDOWS\machine name.acl

c:\WINDOWS\SYSTEM\MSINFO16.TLB

c:\WINDOWS\SYSTEM\SCANREG.VBS

c:\WINDOWS\SYSTEM\VBASET.OLB

c:\RECYCLED\DBINDEX.VBS

c:\RECYCLED\MSRCYCLD.DAT

c:\RECYCLED\RCYCLDBN.DAT

c:\RECYCLED\RECYCLED.VXD (really REGEDIT.EXE)

Die Dateien werden dann nach dem Zufallsprinzip benannt. Beispiele:

c:\report.txt.shs

c:\My Documents\IMPORTANT.TXT.SHS

c:\WINDOWS\LIFE_STAGES.TXT.SHS

c:\WINDOWS\Start Menu\Programs\unknown_805.txt.shs

Der PCtip empfiehlt, während dieser von TrendMicro [1] als "ernstzunehmenden Viren-Ausbruch" bezeichneten Virenkrise die Viren-Patterns zwei bis dreimal pro Tag zu updaten und Mails mit unerwarteten Beilagen zu löschen. Vergessen Sie nicht: Eine irrtümlich gelöschte Beilage ist schneller ein zweites Mal angefordert als ein System von einem Virus befreit.

Untersuchen Sie alle Mail-Beilagen im Zweifelsfall auf doppelte Datei-Endungen. Dazu speichern Sie ein Attachment - natürlich ohne es zu öffnen bzw. doppelzuklicken! - auf die Festplatte. Klicken Sie mit der rechten Maustaste drauf und anschliessend auf "Eigenschaften". Dies zeigt unter anderem den DOS-Namen der Datei an (siehe Bild, unten). Wenn dieser auf SHS oder VBS endet, handelt es sich mit höchster Wahrscheinlichkeit um einen Internet-Wurm. Löschen Sie in diesem Fall die Mail und auch die soeben gespeicherte Mail-Beilage!

Wie Sie Windows dazu bringen, SHS-Dateien auch wirklich als solche anzuzeigen, lesen Sie im PCtip TopThema [2] vom 22. Juni 2000.