Sehr geehrte Kunden und Reseller, Gegenmaßnahmen zum Virus "ILOVEYOU" erhalten sie seit ein paar Minuten unter: http://www.heise.de/newsticker/data/nl-04.05.00-001/ Weiterhin sollten lokale und Netzwerkrechner nach *.vbs Dateien durchsucht werden. Die Dateien heißen "ILOVEYOU.vbs" o.ä. Löschen Sie diese Dateien! Alle gemountete Netzwerklaufwerke (z.B. in einem IntraNet) sollten überprüft werden (HTML, JS, VBS, ... Dateien), da es vorkommen kann, daß sich der Virus in z.B. ein HTML-Seite eigenständig schreibt und sich dadurch selbständig verbreitet wird, sobald diese durch einen User aufgerufen wird. Dies betrifft auch Zugriffe über das Internet auf Firmen, die Ihre eigene Internetpräsentation in einem lokalem IntraNET eingebunden haben. Stellen Sie, wenn Sie den MS-Internet Explorer nutzen diesen auf HÖCHSTE Sicherheitsstufe. (Ansicht --> Internetoptionen --> Sicherheit) Eine weitere Meldungen die wir zum Virus erhielten: Seit heute Vormittag macht eine E-Mail die Runde, die im Attatchment einen Wurm mit sich führt und sich rasend schnell verbreitet. Auch ICQ-Benutzer sind betroffen. Wer elektronische Post mit dem Betreff ILOVEYOU und dem Text "kindly check the attached LOVELETTER coming from me" erhält, sollte sie ungelesen löschen, da die Virenprogramme den neuen Code noch nicht erkennen. Mittlerweile bietet Trend Micro unter 213.198.25.58/... ein erstes Update seines Security-Programms. Der angebliche Liebesbrief ist bei genauerer Betrachtung ein Visual Basic-Skript und verändert die Registry-Einträge für Kernel32, das heißt er überschreibt die Win32.dll, die bei jedem Boot ausgeführt wird. Zudem ändert der Wurm alle Dateien mit den Endungen vbs, vbe, js, jse, css, wsh, sct, hta, jpg, jpeg, mp3 und mp2. Ins System werden eingebaut: MSKernel32.vbs in der Windows System directory, Win32DLL.vbs in the Windows directory, LOVE-LETTER-FOR-YOU.TXT.vbs in der Windows System directory, WinFAT32.EXE in der Internet download directory, WIN-BUGSFIX.EXE in der Internet download directory und script.ini in der mIRC directory. Außerdem ändert er die Startseite des Browsers so, dass eine ".exe"-Datei namens "WIN-BUGSFIX.exe" heruntergeladen wird. Der Provider, auf dessen Site die "WIN-BUGSFIX.exe" gehostet wird, hat die Datei inszwischen vom Netz genommen. Zudem wird bei Outlook das Adressbuch durchkämmt und eine Mail mit dem Trojaner an alle Mailadressen verschickt. Weil bei großen Firmennetzwerken jeder das gleiche globale Adressbuch hat, verschickt der Exchange-Server irgendwann so große Mengen an Mails, dass der Server in die Knie geht. Besonders betroffen sind wieder einmal Nutzer von Outlook, da sich Outlook über Active Scripting steuern lässt. Deshalb ist es für Outlook-Nutzer wichtig, die Mail ungeöffnet zu löschen. Wer die Mail erhalten hat, sollte über die Browsereinstellungen Active Scritping deaktivieren, bevor er die Mail ohne Gefahr markieren kann. Erst dann ist es ungefährlich, sie zu löschen. Man sollte weder die Mail öffnen noch das Anhängsel doppelklicken. Der Virus hat heute innerhalb von zwei Stunden die Mailserver von zahlreichen großen deutschen Konzerne wie Microsoft, Siemens, SAP, Hamburger Verlagshäusern und zahlreichen Banken lahmgelegt. U.a. hat eine große Versicherungs-/Bankgesellschaft aus Köln Ihren Betrieb heute eingestellt und alle Mitarbeiter (bis auf die Techniker) nach Hause geschickt, da deren gesamtes Netzwerk mit dem Virus verseucht ist und den Betrieb lahmlegte. Mit freundlichen Grüßen Oliver Lueck ========================================== GERWAN GmbH Immenburgstrasse 20 D-53121 Bonn Germany E-Mail: mailto:mail@webprovider.net Home..: http://www.webprovider.net Tel...: +49 (0)228/969677-0 Fax...: +49 (0)228/969677-99 ==========================================