Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datensicherheit, warnt PC-Anwender vor dem neuen Internet-Wurm 'VBS.Hard'. Beim Technischen Support der Firma sind bereits mehrere Meldungen über das Auftreten dieses Wurms in 'freier Wildbahn'eingegangen.

"VBS.Hard" verbreitet sich über eMail und befällt dabei das Mailsystem Microsoft Outlook Express. Wird der Wurm ausgeführt, verschickt er sich von dem infizierten Computer aus an alle Adressen, die im Windows-Adressbuch enthalten sind. Als Folge verschickt der infizierte Rechner so viele virenverseuchte Mails, wie es Einträge im Adressbuch gibt.

"VBS.Hard" verbreitet sich über eMail-Nachrichten mit einer VBS-Datei "www.symantec.com.vbs" als Attachement, die das eigentliche Virus enthält. Die eMail-Nachricht sieht folgendermassen aus:

Betreff = "FW: Symantec Anti-Virus Warning"
Text =

----- Original Message -----
From: [warning@symantec.com]
To: [supervisor@av.net]; [security@softtools.com];
[mark_fyston@storess.net]; [directorcut@ufp.com];
[pjeterov@goldenhit.org]; [kim_di_yung@freeland.ch];
[james.heart@macrosoft.com]
Subject: FW: Symantec Anti-Virus Warning

Hello,

There is a new worm on the Net.
This worm is very fast-spreading and very dangerous!

Symantec has first noticed it on April 04, 2001.

The attached file is a description of the worm and how it replicates itself.

With regards,
F. Jones
Symantec senior developer

Wird der Wurm aktiviert, täuscht er eine Webseite vor, die angeblich Informationen über das Virus "VBS.AmericanHistoryX_II@mm"enthalten soll. In Wirklichkeit existiert dieses Virus nicht.

Danach erstellt der Wurm mehrere Dateien:

Die erste Datei mit dem Namen "c:\www.symantec_send.vbs" enthält ein Skript in der Sprache Visual Basic Script, das mit Hilfe von MS Outlook Express virenverseuchte Nachrichten an alle im Windows-Adressbuch abgespeicherten Adressen verschickt.

Die zweite Datei mit dem Namen "c:\message.vbs" enthält ein Skript, das am 24. November die folgende Meldung am Bildschirm ausgibt:

Some shocking news
Don't look surprised!
It is only a warning about your stupidity
Take care!

Diese beiden Dateien werden von dem Wurm in der Systemregistry im Autostart-Bereich registriert. Dadurch werden sie bei jedem Windows-Start mit aufgerufen.

Darüber hinaus registriert der Wurm in der Registry auch die "falsche" Seite als Startseite für Internet Explorer. Um wiederholte Verschickung infizierter Mails von ein und demselben Computer zu vermeiden, erzeugt der Wurm einen Schlüssel in der Systemregistry unter dem Namen "HKLM\SOFTWARE\Microsoft\WAB\OE Done" und liest in diesen den Wert "Hardhead_SatanikChild" ein.

Ein Update zum Schutz vor dem Wurm "Hard" wurde der Antiviren-Datenbank von Kaspersky Anti-Virus bereits am 13. Mai hinzugefügt.

Kaspersky Anti-Virus ist über den Kaspersky Labs Online Store oder über ein weltweites Netz von Kaspersky Anti-Virus Distributoren und Wiederverkäufern zu beziehen. Eine Liste der Händler findet sich unter http://www.kaspersky.com/de/buyoffline.asp.

Die kostenlose Trial-Version von Kaspersky Anti-Virus kann unter http://www.kaspersky.com/de/download.asp heruntergeladen werden.

Der kostenlose Newsletter von Kaspersky Labs kann unter http://www.kaspersky.com/de/subscribeNow.asp abonniert werden.