ILOVEYOU: Gegenmaßnahmen (Update)

Der Wurm VBS/LoveLetter, der sich seit heute morgen, wie gemeldet, rasant im Internet verbreitet, lässt sich von Hand entfernen. Außerdem ist zu erwarten, dass alle namhaften Anti-Virus-Softwareanbieter in Kürze Updates bereit stellen, die den Wurm erkennen und unschädlich machen können – einige Anbieter haben bereits reagiert. Bitte prüfen Sie bevorzugt die WWW-Angebote Ihres Virenscanner-Herstellers. Wer noch keine Anti-Virus-Software im Einsatz hat, findet in unseren Anti-Viren-Bookmarks Links zu kostenlosen Programmen (für den privaten Einsatz). Apple-Macintosh- und Linux/Unix-Anwender sind von dem Wurm grundsätzlich nicht betroffen, da diese Systeme kein VB-Script unterstützen.

Anzeichen für einen Wurmbefall auf Windows-Computern sind die Dateien Win32DLL.vbs im Windows-Verzeichnis und MSKernel32.vbs im Windows-Systemverzeichnis. Zur Entfernung von LoveLetter müssen diese Dateien gelöscht werden. Löschen Sie darüber hinaus die Dateien LOVE-LETTER-FOR-YOU.HTM und LOVE-LETTER-FOR-YOU.TXT.vbs im Systemverzeichnis. Außerdem hat der Wurm vermutlich alle erreichbaren (und nicht schreibgeschützten) Dateien mit den Erweiterungen VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, MP3, MP2, JPG und JPEG mit seinem eigenen Code überschrieben und zusätzlich ".vbs" angehängt (außer bei .vbs und .vbe). Dateien, die auf .jpg.vbs, .js.vbs, .mp3.vbs usw. enden sollten gelöscht werden.

Dateien, die weiterhin auf .jpeg, .js, .mp3 usw. enden, sind von dem Wurm nicht befallen worden und sollten keinesfalls gelöscht werden. MP2- und MP3-Dateien kopiert der Wurm vor dem Überschreiben, kennzeichnet diese Backups aber als "versteckt". Mit attrib -h c:*.mp* /s lassen sie sich wieder sichtbar machen. Die anderen Dateitypen werden hingegen von LoveLetter überschrieben und sind verloren.

Wer keinen Virenscanner zur Bestätigung des Wurmbefalls von .vbs-Dateien nutzen kann, sollte vorsichtshalber vor dem Löschen von Dateien zumindest einen flüchtigen Blick auf die Dateilänge werfen (oder die Dateien umsichtig mit einem Texteditor öffnen und den enthaltenen Code prüfen): Infizierte Dateien enden auf .js.vbs, jpg.vbs usw. und haben eine Größe von circa 10 KByte. Im Zweifelsfall empfiehlt sich eine Sicherungskopie vor dem Löschen.

Auch in der Registry verewigt sich LoveLetter: Über die Registry-Keys HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32 und HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL wird der Wurm nach jedem Booten neu gestartet – diese Registrierungsschlüssel sollten mit dem Registrierungseditor (Startmenü/Ausführen/Regedit) gelöscht werden. Aber Achtung: Manipulationen an der Registry bitte mit äußerster Umsicht durchführen. Weiterhin verewigt sich der Wurm in HKCU\Software\Microsoft\Internet Explorer\Main\Start Page mit einem Downloadlink für ein Hintertürprogramm; nach erfolgtem Download und Neustart des Wurms setzt LoveLetter diesen Key jedoch wieder auf eine leere Seite.

Falls die Hintertür geladen wurde, muss auch sie entfernt werden: Dazu löschen Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX und die Datei WIN-BUGSFIX.EXE unter dem angegebenen Speicherort; ggf. sollten Sie die Datei über die Windows-Suche lokalisieren.

Nicht zuletzt versucht LoveLetter, sich per E-Mail zu verbreiten: Sofern ihm das gelingt, legt er für jede versandte Mail einen Schlüssel unter HKEY_CURRENT_USER\Software\Microsoft\WAB\ an. Wer dort Einträge findet, sollte die betroffenen Bekannten beziehungsweise Korrespondenzpartner warnen, dass sie eine gefährliche E-Mail erhalten haben. Anschließend können diese Keys ebenfalls gelöscht werden. Wer den Chatclient mIRC auf seinem Rechner installiert hat, muss weiterhin die neu angelegte Datei script.ini entfernen, die den Wurm an Chatpartner versendet.

Als generelle Vorsichtsmaßnahme empfiehlt es sich, den Windows Scripting Host im Windows-Setup (Einstellungen: Software) zu deinstallieren, sofern man ihn nicht regelmäßig benutzt. (nl)