VBS/Vierika ist ein E-Mail-Wurm in VISUAL BASIC geschrieben.

Der Wurm besteht aus zwei verschiedenen Script-Teilen. Ein Teil, der sich als Attachment in einer Outlook-Nachricht ausbreitet und ein anderer Teil, der auf einer Web-Site abrufbar ist.

VARIANTE: Vierika.A

Am 5. April 2001 erhielt F-SECURE verschiedene Hinweise über diesen Wurm. Durch Intervention von F-SECURE und dem italienischen Partner Symbolics S.p.A konnte die Web-Seite, die den Hauptteil des Wurms enthält, binnen weniger Stunden geschlossen werden. Die Verbreitung des Wurms auf diesem Weg ist somit gestoppt.

Der Wurm breitet sich mit folgender Nachricht aus:

Betreff: Vierika is here
Text: Vierika.jpg
Attachment: Vierika.JPG.vbs

Der Anhang enthält ein kleines Skript, das den Sicherheitslevel des Internet Explorers herabstuft und als Startseite eine italienische Seite einträgt.

Beim nächsten Start des Internet-Explorers ruft dieser die infizierte Seite auf. Während der erste Teil des Wurms die Sicherheitsstufe herabsetzt ("Vierika.JPG.vbs"), wird der 2. Teil direkt auf der italienischen Internetseite ausgeführt ("Vindex.html").

Teil 1 hinterläßt die Datei "c:\Vierika.JPG.vbs" auf dem infizierten Rechner und verbreitet sich über Outlook an alle Adressen im Adressbuch von Outlook.

Teil 2, der für die Massenmail verantwortlich ist, sieht folgendermaßen aus:

THE MATRIX IS CONTROL

Um die Startadresse des Internet Explorers wieder herzustellen, löschen oder ändern Sie den REGISTRY-KEY

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

Ebenso sollte die Sicherheitsstufe im Internet Explorer mindestens wieder auf "Mittel" eingestellt werden.

[Analyse: Katrin Tocheva and Sami Rautiainen, F-Secure; März 2001;
Übersetzung F-PROT in Deutschland]