VIREN-INFORMATIONS-SEITE

NAME: VBS/Onthefly.A
ALIAS: I-Worm.Lee.o, VBS/VBSWG.J@MM, SST, VBS_Kalamar,
Anna Kournikova-Wurm
TYP: Wurm
F-PROT: wird erkannt und beseitigt
Datum: 14.02.2001
Zusatzinfos Bekennerschreiben des Virenerstellers (vermutlich Original)

Bei diesem verschlüsselten Wurm VBS/Onthefly
(Alias SST, I-Worm.Lee.o)
handelt es sich um einen Massmailer, der mit einer Nachricht mit dem

Betreff: Here you have, "Here you go" oder "Here you are"
Text: Hi: Check This!
Anhang: AnnaKournikova.jpg.vbs

eintrifft.

Der Wurm steckt in dem Attachment mit dem Namen AnnaKournikova.jpg.vbs.
Die E-Mail verspricht als Anhang also ein JPEG-Bild der Tennisspielerin Anna Kournikova – tatsächlich handelt es sich jedoch um ein Visual-Basic-Skript (VBS).

Im Prinzip also wie der LoveLetter-Wurm. Der Wurm ist eine Variante des bereits im August letzten Jahres entdeckten Virenstamms VBS/SST@MM.

Daher: Keine Attachments (Anhänge) in E-MAILS mit unbekannter Herkunft öffnen!!!

Details:
NAME: Onthefly
ALIAS: SST
ALIAS: I-Worm.Lee.o
VARIANTE: Onthefly.A

Wird das VBS-Skript (Visual-Basic-Skript) ausgeführt, so breitet sich der Wurm aus. Zunächst erstellt er den folgenden Eintrag in die Registry: HKEY_CURRENT_USER\Software\OnTheFly = "Worm made with Vbswg 1.50b"

Vbswg ist ein "Viren Construction Kit" (Viren-Konstruktions-Hilfe).

Der Wurm kopiert sich in das Windows-Verzeichnis als "AnnaKournikova.jpg.vbs" und sendet sich selbst an alle Empfänger in allen Adress-Büchern.
Ausserdem setzt er ein Kennzeichen (Marker) in der Registry, damit er nur einmal Massenmails versendet.

Am 26. Januar versucht der Wurm eine Verbindung zu dem niederländischen Online-Computershop Dynabyte herzustellen. Demnach müßte der Wurm bereits vor fast einem Monat kreiert worden sein. Im Unterschied zu Loveletter findet sich beim "Anna"-Wurm keine Schadfunktion.

[Analyse: Katrin Tocheva und Sami Rautiainen, F-Secure; Februar 2001; F-PROT in Deutschland]

 

NAME: VBS/Onthefly.B (und .C)
ALIAS:  
TYP: Wurm
F-PROT: wird erkannt und beseitigt
Datum: 16.02.2001

Bei diesem verschlüsselten Wurm VBS/Onthefly.B
handelt es sich ebenfalls um einen Massmailer, der mit einer Nachricht mit dem

Betreff: Neues von Ihrem Internetdienstleister - Robert T. Online informiert
Text:
Sehr geehrter Internetsurfer es hat sich einiges bei uns getan. Die Telekom kann auch Ihre Internetkosten reduzieren. Wir haben auch für Sie den richtigen Tarif...
Damit auch Sie sich entscheiden können, haben wir eine Übersicht aller für Sie relevanter Termine an diese eMail gehängt. Wir sind Sicher, auch Sie werden Ihren Wunschtarif finden. Bei Fragen stehen wir Ihnen natürlich jederzeit zur Verfugung...
Ihr T-Online Service Team

Anhang: Neue Tarife.txt.vbs

eintrifft.

Der Wurm steckt in dem Attachment mit dem Namen Neue Tarife.txt.vbs.

Wird das VBS-Skript (Visual-Basic-Skript) ausgeführt, so breitet sich der Wurm aus. Zunächst erstellt er den folgenden Eintrag in die Registry: HKEY_CURRENT_USER\software\mailed

Der Wurm kopiert zusätzlich dadurch, dass er mIRC und Pirch-IRC-Clients benutzt.

VARIANTE: Onthefly.C

Diese Variante ist nicht verschlüsselt. Ansonsten ist sie ähnlich VBS/Ontthefly.B.
Allerdings kann sich diese Variante durch einen Fehler nicht vervielfältigen.

[Analyse: Katrin Tocheva und Sami Rautiainen, F-Secure; Februar 2001; F-PROT in Deutschland]

 

zurück