VBSWG.AF ist eine Visual-Basic-Skript-Virus, der am 16.10.2001 entdeckt wurde.
Manche Anbieter von Anti-Viren-Produkten bezeichnen diese VBSWG-Variante als VBS/Antrax (Antrax). Dieser Virus ist nicht zu verwechseln mit dem alten Anthrax-Virus.

Dieses ist ein IRC-Wurm und ein VBS-Virus, der mit dem VBSWG-Virus-Kit erstellt wurde. VBSWG.AF soll sich über das Programm Outlook als Anhang (Attachment) ausbreiten, aber durch einen Programmfehler wird der Anhang nicht mitverschickt, sondern nur die Nachricht mit folgendem Inhalt:

Von:
An:
Betreff: Antrax Info
Text:
si no sabes que es el antrax o cuales son sus efectos aquite mando una foto para que veas los efectos que tiene. Nota:la foto esta un poco fuerte.

Da die Massen-Mail-Routine fehl schlägt und das Skript den Anhang nicht verschickt (antraxinfo.vbs), wird VBSWG.AF über den E-MAIL-Weg nicht verbreitet.

Nachdem der Virus einen Key 'Antrax' in die Registry eingetragen hat, der als Marker (Schalter) genutzt wird, wird er nicht noch einmal versuchen, auf infizierten Systemen die Massen-Mail-Routine auszuführen. Allerdings kann sich VBSWG über mIRC und Pirch ausbreiten, indem er die script.ini und events.ini verändert.

Er sucht nach Dateien mit der Endung .VBS und .VBE und überschreibt sie mit dem eigenen Programm-Code, den er vorher im WINDOWS-System-Verzeichnis als antraxinfo.vbs abgelegt hat. Die Schadfunktion des Virus wird am 26. Januar aktiviert, wenn er folgende Nachricht ausgibt:

Antrax Worm By wAsEk

Es gibt 4 ähnliche Varianten dieses Virus. Einer von ihnen (VBSWG.AH) versucht eine Datei Antrax.exe auf dem System abzulegen und zu starten, hinter welchem sich in Wirklichkeit ein E-MAIL-Bomber mit dem Namen Achis verbirgt

Auch die Variante VBSWG.AH funktioniert durch einen Programmfehler nicht.

[Analyse: Katrin Tocheva, F-Secure; Deutsche Übersetzung: F-PROT in Deutschland]