E-Mail-Virus: I love youLoveletter, i love you, E-Mail-Virus, Microsoft Outlook, Massen-Virus, Mailserver, 4. Mai 2000, Adressbuch, E-Mail
    


 

  

http://www.glossar.de/glossar/z_loveletter.htm

Ein als Liebesbrief getarnter Massen-Virus namens "Loveletter" überschwemmte am 4. Mai 2000 die Mailserver zahlreicher Großunternehmen wie Verlage und Banken sowie Behörden und Regierungen und legte sie zeitweilig lahm, so daß teilweise die Computer heruntergefahren werden mußten. Nach Schätzungen von Experten wurden weltweit etwa 45 Millionen Computer infiziert.

Der Virus steckte in dem Attachment der E-Mail mit dem Betreff "I LOVE YOU". Der Leser wurde mit dem Text "Kindly check the attached Loveletter coming from me" (Schau doch bitte in den mitgeschickten Liebesbrief von mir) aufgefordert, das Attachment zu öffnen, womit ein Programm aktiviert wurde, das von selbst das Adressbuch des Empfängers durchstöberte und sich dann ungefragt an die dort enthaltenen Adressen weiterschickt. Dabei wurde der Namen des Geschädigten als Absender verwendet. Außerdem versuchte es, sich von einem philippinischen Server Dateien herunterzuladen.

Facts, Tipps und Hilfen

Laut Symantec manipuliert der Virus zudem die Registry und legt einige Dateien ab:

  • im Windows Verzeichnis: Win32DLL.vbs
  • im WindowsSystem Verzeichnis: MSKernel32.vbs und LOVE-LETTER-FOR-YOU.TXT.vbs
  • im Internet Download Verzeichnis: WinFAT32.EXE und WIN-BUGSFIX.EXE
     
  • Dateien folgenden Typs werden infiziert: vbs, vbe, js, jse, css, wsh, sct, hta, u.a.
  • Und es legt eine Datei 'script.ini' an, damit es sich via mIRC verbreiten kann.

Um den Loveletter-Virus wieder loszuwerden, sollte der betroffene Anwender zunächst alle ca. 10 Kilobyte großen Dateien mit der Endung *.vbs löschen. Danach ist die Datei "WIN-BUGSFIX.EXE" an der Reihe, die - sofern vorhanden - ebenfalls gelöscht werden muß. Mit dem Editor "regedit" (Startmenü / Ausführen / Regedit) müssen dann folgende Registry-Einträge gelöscht werden:

  • HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run MSKernel32
  • HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunServices Win32DLL
  • HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run WIN-BUGSFIX

Außerdem ist der folgende Eintrag uf "about:blank" zusetzen:

  • "HKEY_CURRENT_USER Software Microsoft Internet Explorer MainStartPage

AUSSERDEM: Download eines "Love Letter Virus Killers": www.cm4all.com

In vielen Unternehmen traten die Angestellten mit dem Lesen der E-Mails eine Lawine los, der die Techniker kaum gewachsen waren. In Sekundenschnelle waren die Netzwerke verstopft, zahllose E-Mails liefen in den Postfächern auf. Wer arbeiten wollte, wurde ständig vom Hinweis unterbrochen "Sie haben eine neue Nachricht erhalten. Wollen Sie sie lesen?". In einem Hamburger Medienhaus wurde per Lautsprecher aufgefordert, die E-Mails nicht zu öffnen.

  • In Deutschland waren nach Angaben von Sprechern unter anderem Siemens und Microsoft betroffen. Der Fernsehsender ProSieben musste stundenlang seine Mailserver abkoppeln. In Hamburg wurde unter anderem der Axel-Springer-Verlag heimgesucht. Sicherheitshalber hatte sich der Verlag auf Notausgaben ("Hamburger Abendblatt") eingestellt. Bis zum Nachmittag hatte sich die Lage aber wieder entspannt. Beim Hamburger Verlag Gruner+Jahr war nach Angaben der Pressestelle die Verwaltung beeinträchtigt. Dort wurden Computersysteme für eine Stunde heruntergefahren. Der Virus legte auch das Computernetz der niedersächsischen Landesregierung teilweise lahm. Die Verwaltung der Ruhrgebietsstadt Herten war zeitweise "von der Außenwelt abgeschnitten", wie Stadtsprecher Norbert Johrendt sagte. Außerdem zählten z.B. der weltgrößte Hersteller der Druckbranche, die Heidelberger Druckmaschinen AG, und der benachbarte Baustoffriese Heidelberger Zement zu den Opfern. "Unsere Experten haben vorübergehend die Verbindung unserer Mailserver nach außen gekappt", sagte Heideldruck-Sprecherin Nina Purtscher. Auch die Gewerkschaft IG Metall musste ihre interne E-Mail-Kommunikation einstellen.
    Der Computervirus hat auch die Rechner der Weltausstellung in Hannover für mehrere Tage lahmgelegt. Wie eine Sprecherin der Veranstaltergesellschaft EXPO 2000 Hannover GmbH mitteilte, mussten alle rund 1000 EXPO-Computer heruntergefahren werden, nachdem sie von dem Virus' getroffen wurden. Die EXPO-Mitarbeiter konnten deswegen keine E-mails mehr bearbeiten und ihren Veranstaltungskalender nicht weiter aktualisieren. Die Dokumente und Dateien der EXPO seien aber alle technisch geschützt und hätten die Attacke ungefährdet überstanden. "Es ist nichts kaputt und verloren gegangen", betonte die Sprecherin weiter.
  • Unter anderem meldete Dänemarks Parlament "Folketing" in Kopenhagen, dass alle Abgeordneten die Mail bekommen hätten. Das nationale Telekommunikationsunternehmen Teledanmark bestätigte, dass "zahllose" Nutzer von Email-Servern sich mit der Frage nach der Herkunft des Virus gemeldet hätten.
  • Aus Norwegen hieß es, man habe im Lauf des Vormittags innerhalb kurzer Zeit Meldungen über die Ausbreitung des Virus nach Deutschland, Großbritannien und der Schweiz bekommen.
  • In Großbritannien wurde das britische Unterhauses heimgesucht. Die Fraktionsvorsitzende der regierenden Labour-Partei, Margaret Beckett, sagte: "Ich weiß nicht, ob ich traurig oder froh sein soll, denn so weit ich weiß, habe ich noch nie eine E-Mail mit den Worten 'I love you' bekommen." Nach einem Bericht der BBC waren schätzungsweise zehn Prozent aller britischen Unternehmen von dem Virus betroffen.

Der Virus befällt nur E-Mail-Programme von Microsoft. Ein Sprecher des amerikanischen Unternehmens lehnte es ab, die fraglichen Optionen aus dem betroffenen E-Mail-Programm "Outlook" zu entfernen. Statt dessen sollten die Benutzer dessen eingebauten Warnfunktionen nutzen und die fraglichen Dateien vor dem Öffnen mit einem Anti-Viren-Programm untersuchen.

Anklage gegen Loveletter-Autor fallengelassen
(Meldung vom 22.8.2000)

Die Philippinen haben am 21. August 2000 die Anklage gegen den mutmaßlichen Urheber des Loveletter-Virus, Onel de Guzman, fallengelassen. Gegen den 24-jährige Studienabbrecher war zunächst wegen des illegalen Gebrauchs von Passwörtern für Kreditkarten und Banküberweisungen Anklage erhoben worden. Diese war allerdings nicht haltbar.

Erst nach dem weltweiten Zusammenbruch von Mailservern hatte die philippinische Regierung ein Gesetz gegen die Erstellung und Freisetzung von Viren erlassen. Es kann aber nicht rückwirkend auf die Tat von de Guzman angewandt werden. Seine Anwälte sagen, de Guzman habe den Virus nur aus Versehen freigesetzt. Er habe nicht abschätzen können, dass er sich so schnell verbreite. Die Anklage sprach dagegen davon, dass der 24-jährige Passwörter für den Internetzugang stehlen wollte.
 

Philippinos stolz auf Loveletter
(Meldung der PC-WELT vom 13.5.2000)

"Jawohl, wir Philippinos können es!" prangte in fetten Lettern auf der Titelseite des "Manila Standard". Darüber die Schlagzeile: "Der erste Weltklasse-Hacker der Nation". Wie die "New York Times" berichtet, erfüllt der auf den Philippinen entwickelte "I Love You"-Virus, der weltweit schätzungsweise 10 Milliarden US-Dollar Schaden angerichtet hat, die Bewohner des aus 7000 Inseln bestehenden Staates mit Stolz.

"Ein Genie hat die Philippinen auf die Weltkarte gebracht", freute sich etwa auch der "Philippine Star" über den zweifelhaften Ruhm.

Viele Philippinos sind fassungslos angesichts der internationalen Furore, die ein Bürger der Lowtech-Nation durch einen Computer-Virus auslöste. Im letzten Jahr wurden auf den Philippinen gerade mal 200.000 Computer verkauft. Die wenigsten der rund 80 Millionen Philippinos haben überhaupt Zugang zum Internet. Nicht einmal fünf Prozent der Schüler an öffentlichen Schulen haben Zugriff auf einen PC.

Studenten am philippinischen AMA-Computer-College verehren den 23-jährigen Onel de Guzman geradezu. Ihr Ex-Kommilitone steht unter dem dringenden Tatverdacht, den zerstörerischen Wurm in Umlauf gebracht zu haben: "Das war natürlich nicht richtig", wurde die "Loveletter"-Aktion auf dem Campus kommentiert, "aber die Aktion ist einfach unglaublich".

Ein Studienkollege von de Guzman bringt auf den Punkt, was den Nationalstolz der philippinischen Bewohner so bewegt: "Das muss man sich mal vorstellen: Die konnten bis ins Pentagon vordringen. Und das, obwohl die Philippinen doch ein Dritte-Welt-Land sind und wir technologisch sehr weit hinterher hinken."
 

die Spuren führen auf die Philippinen und nach Deutschland
(Meldung vom 6.5.2000)

Nach ersten Informationen wird der Verursacher des gefährlichen E-Mail-Virus "I Love You" im Großraum Indonesien/ Philippinen vermutet. Einem Star der weltweiten Hacker-Szene wurde aus dieser Region der komplette "Source Code" des Virus angeboten. Ein 19-jähriger indonesischer Hacker mit dem Decknamen "Heriodi" bekam diesen Source-Code vom "I Love You"-Verursacher kurzfristig zugespielt.
Und am 7.5. hat die Polizei auf den Philippinen nach eigenen Angaben auch einen Verdächtigen identifiziert. Nach Ermittlungen des philippinischen Providers Accessnet soll ein 22-jähriger Filippino den Virus von Manila aus ins Netz geschleust haben.

Möglicherweise hat aber auch ein deutscher Austauschstudent in Australien den zerstörerischen E-Mail-Virus "I love you" ins weltweite Datennetz geschleust. Der schwedische Computer-Experte Fredrik Björck will "Michel" drei Stunden nach den ersten Meldungen aufgespürt haben. (Björck hatte nach Angaben der schwedischen Nachrichtenagentur TT im vergangenen Jahr die Herkunft des Virus "Melissa" ermittelt.) Zu dem angeblichen Urheber des jüngsten Virus meinte der Schwede: "Er hat sich durch Spuren in Usenet-Gruppen verraten." Michel habe den Virus auf den Philippinen aktiviert, was aber nicht unbedingt bedeute, dass der Deutsche sich auf der Pazifikinsel befunden habe, hieß es. Bereits kurz nach Beginn der weltweiten Ausbreitung des Virus waren die Philippinen immer wieder als Ausgangspunkt genannt worden. Dort verdächtig(t)en die Behörden einen nicht näher identifizierten 22-Jährigen als Urheber. Auch die amerikanische Bundeskriminalpolizei FBI fahndet(e) nach dem Hacker.

"Loveletter" war der vorläufige Höhepunkt einer Serie von neuen Viren, die sich immer öfter nicht per Diskette oder das Internet, sondern per E-Mail versenden. Sie enthalten verführerische Betreffzeilen und oft scheinbar bekannte Absender, die den Nutzer zum Öffnen bewegen sollen. Im vergangenen Jahr sorgten die Viren "ExploreZip" und "Melissa" für Unruhe in aller Welt. Der britische Fachjournalist Barry Collins sprach in London von dem "destruktivsten Virus", den er jemals gesehen habe. Und auch Peter Tippett von der US-Computersicherheitsfirma ICSA.net meinte: "Es ist der bösartigste, schädlichste, teuerste und am schnellsten um sich greifende Virus in der Computergeschichte". Allein in Nordamerika dürfte ein Schaden von einer Milliarde Dollar entstanden sein.

Die Hersteller von Anti-Viren-Programmen (siehe) reagierten mit Überstunden und immer neuen Aktualisierungen ihrer Produkte. Sie erwarten weitere Mutationen der Viren, deren Code von Trittbrettfahrern auch ohne tiefer gehende Kenntnisse geändert werden kann. Der Virus Loveletter erhielt übrigens von den Antiviren-Herstellern inzwischen einheitlich den Namen "VBS/LoveLetter".

US-Experte: Schon zehn Milliarden Mark Schaden durch "I LOVE YOU"
(Meldung vom 13.5.2000)

Der E-Mail-Virus "I LOVE YOU" und seine Ableger haben nach Schätzung des PC-Virenexperten Michael Erbschloe aus den USA einen Schaden von mindestens 4,7 Milliarden Dollar (zehn Milliarden Mark) angerichtet. Bis der Virus vollständig beseitigt sei, könne der gesamte wirtschaftliche Schaden sogar auf mehr als zehn Milliarden Dollar anwachsen.
 

Der Loveletter Variante als HTML-E-Mail
(Meldung der PC-WELT vom 9.5.2000)

Gerüchten zufolge ist in der Woche 1 nach Loveletter eine HTML-Mutation des Loveletter-Wurms aufgetaucht. Diese Variante ist besonders fies, da sich der Schädling nicht mehr im Attachment befindet, sondern eingebettet in die HTML-Nachricht selbst und so sein zerstörerisches Werk schon beim Lesen der Mail aufnehmen kann (siehe HTML-E-Mail).

Zum ersten Mal gesichtet wurde die neue Variante in einer E-Mail mit dem Anhang "Bewerbung.html", in dessen HTML-Quelltext sich Teile des Codes vom Loveletter-Virus befanden. Wenn dieses Verfahren "richtig" angewendet wird (wie es erstmals bei dem Wurm Bubbleboy der Fall war), reicht bereits das Lesen der Mail im Vorschaufenster, um den gefährlichen Code zu aktivieren. Speziell wenn mit Outlook Express gearbeitet wird, sollten die Sicherheitseinstellungen so geändert werden, dass Scripte und andere aktive Inhalte nicht ausgeführt werden können - siehe: "Extras, Optionen", "Sicherheit". Im Abschnitt Sicherheitsszonen muß die zu verwendende Internet Explorer Sicherheitsszone auf "Zone für eingeschränkte Sites" gesetzt werden.

Zusätzlich sollte man im Internet Explorer selbst auf "Extras", "Internetoptionen", "Sicherheit" gehen und die Stufe "Eingeschränkte Sites" so einstellen, dass wirklich keinerlei aktive Inhalten ausgeführt werden können. Einige aktive Komponenten sind sonst nach wie vor zulässig.
 

Der Loveletter bekommt Nachwuchs
(Meldungen ab dem 6.5.2000)

Innerhalb kürzester Zeit hat der E-Mail-Wurm "ILOVEYOU" reihenweise Ableger bekommen. Unter geänderten Betreffzeilen wie "Funny News", "Mother´s Day", "very funny" oder "Joke" sind Varianten unterwegs, die den gleichen Schaden anrichten und sich ebenso verbreiten wie ILOVEYOU - dazu einige Beispiele:

  • Eine besonders hinterhältige Abart tarnt sich als Programm, das den VBS/Loveletter entfernen würde - statt dessen installiert es den Virus. In einem konkreten Beispiel folgt dem Betreff "Virus ALERT!!!" ein langer Text, der vorgibt, von Symantec zu stammen. In dem Attachment "protect.vbs" steckt dann wieder der Virus.
  • Eine andere Variante überschreibt Dateien, die der Computer nach dem Einschalten zum Starten benötigt.
  • Auch die E-Mail "Dangerous Virus Warning" sollte ungeöffnet gelöscht werden. Der Text lautet hier: "There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it." Der Anhang heißt diesmal "virus_warning.jpg.vbs".
  • Die nächste Variante hat das Betreff: "Important! Read carefully!!", den Text "Checked the attached IMPORTANT coming from me!" sowie den Anhang "IMPORTANT.TXT.vbs".
  • "VBS.NewLove" nutzt ebenfalls Eigenarten des E-Mail-Programms "Outlook" von Microsoft und verschickt sich automatisch an alle dort gespeicherten Adressaten. Der Virus kann zudem Dateien löschen und eine Neuinstallation des befallenen Systems nötig machen.
    Die neue Version verbreite sich zwar langsamer als die alte Variante, kann aber viel größere Schäden anrichten. Anders als bislang verändert der neue Virus dabei seine Größe und die Betreffzeile, die dem Empfänger über den Inhalt der elektronischen Post informiert. Zudem wechselt er zufällig einige Teile seines Codes. Dadurch ist der neue Virus auch von Abwehrprogrammen nur schwer finden und zu zerstören.

(zurück) zum Glossar:
 

    


 

 
siehe auch (auf anderen Glossar-Seiten):

Computer-Virus (Links zu Herstellern von Antiviren-Software)
E-Mail
Hacker
HOAX und E-Mail-Viren
Internet
Melissa
sicheres Internet
Verschlüsselung, Digital-ID

außerdem

das BSI dazu: http://www.bsi.de/loveletter.htm
 

Copyright: Alfons Oebbeke, Neustadt 1997-2000
Navigation ohne Frames:

 
Glossar - Homepage - Linkseite - Suchen im ARCHmatic-Web-Pool (funktioniert nur im Online-Modus!!!) E-Mail-Kontakt - Gästebuch: Ihre/Deine Meinung auf neutralem Boden bei ZDNet.de ! -AEC-WEB (funktioniert nur im Online-Modus!!!)
# A B C D E F G H I J K L M N O P Q R S T U V W X Y Z