Die 17 Loveletter-Varianten

Seit der ‚ILOVEYOU‘-Virus am Donnerstag vergangener Woche in Asien gestartet ist, versetzt er die Microsoft-PC-Welt in Angst und Schrecken. Nachahmer waren fleißig und haben bisher 14 Varianten gebastelt. ZDNet führt sie hier in einer Übersicht auf. Die Hersteller von Antiviren-Software raten: Ungeöffnet löschen.

  1. VBS.LoveLetter.A
    ANHANG: LOVE-LETTER-FOR-YOU.TXT.vbs
    BETREFF: ILOVEYOU
    TEXTFELD: kindly check the attached LOVELETTER coming from me.

  2. VBS.LoveLetter.B (Litauisch)
    ANHANG: LOVE-LETTER-FOR-YOU.TXT.vbs
    BETREFF: Susitikim shi vakara kavos puodukui…
    TEXTFELD: kindly check the attached LOVELETTER coming from me.

  3. VBS.LoveLetter.C (Very Funny)
    ANHANG: Very Funny.vbs
    BETREFF: fwd: Joke
    TEXTFELD: leer
    (siehe auch „Neue Variante von ‚ILOVEYOU‘ aufgetaucht„)

  4. VBS.LoveLetter.D (auch als BugFix bekannt)
    ANHANG: LOVE-LETTER-FOR-YOU.TXT.vbs
    BETREFF: ILOVEYOU
    TEXTFELD: kindly check the attached LOVELETTER coming from me.
    BEMERKUNG: Trägt sich in der Registry mit WIN- -BUGSFIX.exe anstelle von WIN-BUGSFIX.exe ein.

  5. VBS.LoveLetter.E (Muttertag)
    ANHANG: mothersday.vbs
    BETREFF: Mothers Day Order Confirmation
    TEXTFELD: We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com
    BEMERKUNG: Der Muttertags-Wurm wird auch über IRC versandt und ändert die Startseite in Hackers.com, l0pht.com oder 2600.com.
    (siehe auch „Muttertags-Mutant des Wurms„)

  6. VBS.LoveLetter.F (Viren Warnung)
    Norton AntiVirus nennt ihn: VBS.LoveLetter.Variant.F
    ANHANG: virus_warning.jpg.vbs
    BETREFF: Dangerous Virus Warning
    TEXTFELD: There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it.

  7. VBS.LoveLetter.G (Virus ALERT!!!)
    (Norton AntiVirus nennt ihn: VBS.LoveLetter.Variant oder VBS.LoveLetter.G)
    ANHANG: protect.vbs
    BETREFF: Virus ALERT!!!
    TEXTFELD: ein langer Text über VBS.LoveLetter.A
    BEMERKUNG: Der Absender ist gefälscht als „support@symantec.com“. Diese Variante überschreibt auch „.bat“ und „.com“-Dateien.

  8. VBS.LoveLetter.H (No Comments)
    ANHANG: LOVE-LETTER-FOR-YOU.TXT.vbs
    BETREFF: ILOVEYOU
    TEXTFELD: kindly check the attached LOVELETTER coming from me.
    BEMERKUNG: die Zeilen mit Kommentaren zu Beginn des Wurm-Codes wurden entfernt.

  9. VBS.LoveLetter.I (Important! Read carefully!!)
    ANHANG: Important.TXT.vbs
    BETREFF: Important! Read carefully!!
    TEXTFELD: Check the attached IMPORTANT coming from me!
    BEMERKUNG: Zu Beginn des Wurm-Codes wurden neue Kommentar-Zeilen eingesetzt, die von Brainstorm / @Electronic Souls stammen. Der Virus kopiert die Dateien ESKernel32.vbs und EX32Dll.vbs auf den infizierten Rechner. Die Kommentare im MIRC-Script beziehen sich ebenfalls auf Brainstorm und Electronicsouls. Das Script sendet „Important.htm“-Fils in Chat-Räume.

  10. VBS.LoveLetter.J
    BEMERKUNG: Erscheint als leichte Modifikation der G-Variante, die als gefälschte Symantec-Viren-Warnung auftritt.

  11. VBS.LoveLetter.K
    BEMERKUNG: wird noch untersucht.

  12. VBS.LoveLetter.L (I Can’t Believe This!!!)
    ANHANG: KillEmAll.TXT.VBS
    BETREFF: I Can’t Believe This!!!
    TEXTFELD: I Can’t Believe I have Just Received This Hate Email .. Take A Look!
    BEMERKUNG: Im Kommentar steht die Wortfolge: „Killer, by Mephiston“, er überschreibt „.gif“ und „.bmp“-Dateien (anstelle wie das Original „.jpg“s. Versteckt werden „.wav“- und „.mid“-Files (nicht „.mp3“- und „mp2“-Dateien wie beim Original). IRC-User sind von dieser Variante nicht betroffen. Kopiert die Dateien „Kiler.htm“, „Killer2.vbs“ und „Killer1.vbs“ auf die Festplatte.

  13. VBS.LoveLetter.M (Arab Airlines)
    BEMERKUNG: Empfänger werden gebeten, eine Rechnung über ein Flugticket zu prüfen.

  14. VBS.LoveLetter.N (Bewerbung)
    ANHANG: BEWERBUNG.TXT.vbs
    BETREFF: Bewerbung Kreolina
    TEXTFELD: Sehr geehrte Damen und Herren!
    (siehe auch „Deutsche Variante des Loveletters„)

  15. VBS.LoveLetter. (LOOK)
    ANHANG: LOOK.vbs
    BETREFF: LOOK
    TEXTFELD: „hehe…check this out“

  16. VBS.LoveLetter. (Friend)
    ANHANG: FRIEND_MESSAGE.TXT.vbs
    BETREFF: Friend Message
    TEXTFELD: „“A real friend send this message to you“

  17. VBS.LoveLetter. (Vir-Killer)
    ANHANG: Vir-Killer.vbs
    BETREFF: „Yeah, Yeah, another time to DEATH…“
    TEXTFELD: „This is the Killer for VBS.LOVE-LETTER.WORM.“

ZDNet berichtet in einem laufend aktualisierten News Report zu ‚ILOVEYOU‘ über die weitere Entwicklung und stellt neben Grundlagenwissen auch Links zu Virenschutz-Anbietern bereit.

Kontakt:
Symantec, Tel.: 02102/74530
Network Associates, Tel.: 089/37070

ZDNet.de Redaktion

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

2 Tagen ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

2 Tagen ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

3 Tagen ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

3 Tagen ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

3 Tagen ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

4 Tagen ago