Datencrash Datenrettung Hardware Virus
Datencrash Datenrettung Festplatte Hardware Virus Datencrash Datenrettung Festplatte Hardware Virus
   Datenrettung
   News
   Datenretter
   Glossar
   Erste Hilfe
   Datenbackup
   Computer & Hardware
   News
   Glossar
   Viren & Trojaner
   Viren-Katalog
   AntiViren-Tools
   Hack-Angriffe
   Internes
   Startseite
   Partner
   Sitemap
   Unsere Banner
   Presseinfo
   Kontakt
   Impressum
Viren : Virenkatalog

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9

Vbs.Loveletter.Gen


VBS.Colombia ist in Österreich bereits aktiv - seine Schadensfunktion ist gering, dennoch kann es relativ unangenehm werden - IKARUS Software stellt bereits ein Gegenmittel zur Verfügung.

VBS.Colombia ist eine modifizierte Variante des VBS.Loveletter.AS, der bereits seit längerem bekannt ist.

Wird die Datei durch Doppelklick aktiviert, durchsucht es die Laufwerke von C: - Z: und ersetzt alle

gif, bmp, jbg, jpeg, css, vbe, vbs, wsh, js, jse, sct, hta

mit seinem Code und der Endung .VBS (zb. dateiname.jpg.vbs). Danach löscht es die Originaldateien.

Bei MP2 und MP3 übernimmt VBS.Colombia auch die Namen, ersetzt den Inhalt durch seinen Code, fügt die Endung VBS hinzu und versteckt die originalen Dateien durch das Setzen der Hidden-Atribute. Diese Dateien sind nicht verloren und können wiederhergestellt werden!

Am 17.9 erzeugt VBS.Colombia eine Messagebox mit dem Text:

Dedicated to my best brother=>Christiam Julian(C.J.G.S.)
Att. (random_string) (M.H.M. TEAM)

Und dann trennt es die Netzwerkverbindung zu den Laufwerken E: bis Z:

Das Virus versendet sich wie (fast) alle Loveletter-Varianten an alle eingetragenen Adressen im Outlook-Adressbuch und wählt den Inhalt und das Attachment der eMail durch eine Zufallszahl aus:


Es gibt 3 Möglichkeiten:

Subject: US PRESIDENT AND FBI SECRETS =PLEASE VISIT => (http://WWW.2600.COM)<=
Body: VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PICTURES..
Attachment: Name zufällig

Variante 2:

Subject: zufälliger Text
Body: zufälliger Text
Attachment: Name zufällig

oder Variante 3:

Subject: leer
Body: leer
Attachment: Name zufällig

Das Virus versucht auch durch diese Zufallszahl eine Datei von FortuneCity zu laden. Diese Links sind jedoch außer Funktion und so können diese Zip-Dateien nicht installiert werden.

Hätte der Download funktioniert würde das Virus die Startseite des Internet-Explorers löschen und eine leere Seite anzeigen.

Für die Aktivierung des Viruses nach einem Systemneustart legt es sich zwei Registryeinträge an.

Im Windows-System-Verzeichniss erstellt es eine Datei namens "LINUX32.VBS" die es mit dem Registryeintrag

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\LINUX32\\LINUX32.vbs" aufruft.

Im Windowsverzeichniss legt es die Datei "reload.vbs" an, die es durch den Registryeintrag:

"HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\LINUX32\windows\reload.vbs" aufruft.


Tip vom Virendoktor:

Wir empfehlen mit Nachdruck, keine Attachments mit den oben genannten Namen zu starten, die noch dazu, mit den o.g. Subjects und Texten im eMail an Sie gesandt wurden. Wenn möglich, deaktivieren sie Ihren Skripting Host. Ohne diesen ist das Virus völlig harmlos.

Aktivieren Sie, wenn möglich, sofort einen eMail Filter, der Attachments die Executables mit den o.g. Namen enthalten, abblockt bzw. in eigens dafür vorgesehene Quarantänebereiche stellt. Ein Update Ihres Virenschutzprogamms ist empfehlenswert.








Linktipps: Umhängebänder · DVD Rekorder