So entfernen Sie ILOVEYOU
Anleitung zur “Deinstallation” des VBS/LoveLetter-Virus
Der E-Mail-Wurm “VBS/LoveLetter”, auch bekannt als “ILOVEYOU”, basiert auf einem Visual-Basic-Skript. Wer noch kein Update für seine Virensoftware findet, kann den Plagegeist auch von Hand entfernen. Außerdem genügt eine simple Änderung an der Windows-Konfiguration, um einen Befall durch diesen Virus zu verhindern.
Die folgende Anleitung bezieht sich auf die gegenwärtig im Umlauf befindliche Variante, deren Skript 10307 Byte lang ist.
Schutz vor dem Befall
Infiziert werden können durch LoveLetter nur Systeme, auf denen Windows 98, Windows 98SE oder Windows 2000 laufen. Das schließt auch beispielsweise Macs ein, die mit einer Emulator-Software arbeiten. Die ursprüngliche Installation des Wurms läuft über den Windows Scripting Host (WSH), der sich bei Windows 98 und SE über Systemsteuerung/Software/Windows Setup/Zubehör deinstallieren lässt. Wie sich der WSH unter Windows 2000 deaktivieren lässt, ist derzeit noch ungeklärt.
In jedem Fall sollten unbekannte Dateianhänge nicht ausgeführt werden. Die Datei, die LoveLetter enthält, heißt “LOVE-LETTER-FOR-YOU.TXT.vbs”. Bei manchen Mail-Programmen wird die Endung “.vbs”, die ein Visual-Basic-Skript identifiziert, nicht angezeigt - hier ist besondere Vorsicht geboten.
Deinstallieren von LoveLetter
Der Wurm legt folgende Dateien an, die seinen Code enthalten. Zum Entfernen der eigentlichen Funktionalität von LoveLetter genügt es, diese zu löschen:
(Windows-Verzeichnis)\SYSTEM:
MSKernel32.vbs
Win32DLL.vbs
LOVE-LETTER-FOR-YOU.HTM
LOVE-LETTER-FOR-YOU.TXT.vbs
Wenn sich LoveLetter schon einige Zeit im System austoben konnte, hat er alle Dateien mit folgenden Endungen überschrieben: .css, .hta, .jpeg, .jpg, .js, .jse, .mp2, .mp3, .sct, .vbe, .vbs, vsh.
Bei denen, die nicht schon die Endung .vbs trugen, wird sie hinzugefügt. Das Lieblingsstück heißt dann beispielsweise “musik.mp3.vbs”. Jeder Doppelklick auf diese Dateien kann den Virus wieder neu installieren, da sie nun als Skript ausgeführt werden. Der Inhalt der Originaldateien ist verloren, da LoveLetter sie schlicht überschreibt. Im Glücksfall finden sie sich noch im Papierkorb von Windows. Die infizierten Dateien mit der Endung .vbs sollte man in jedem Fall löschen. Sie sind 10307 Byte groß.
LoveLetter trägt sich an vielen Stellen der Registry ein. Die folgenden Keys sollte man mit regedit (Start/Ausführen/regedit.exe) löschen. Dabei ist jedoch Vorsicht geboten: Ein falscher Klick in der Registry kann das komplette System lahm legen. Wer keine Erfahrungen mit RegEdit hat, sollte die Arbeit einem Spezialisten überlassen:
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\ Run\MSKernel32
Und:
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\ RunServices\Win32DLL
Wenn der Wurm sich schon per E-Mail verbreiten konnte, finden sich unter diesem Key noch weitere Einträge in der Registry, sie müssen allesamt gelöscht werden:
HKEY_CURRENT_USER\Software\ Microsoft\WAB\
Der Wurm versucht außerdem über die Startseite des Internet Explorer eine Datei von einem philippinischen Server herunterzuladen. Zwar ist das File dort inzwischen gelöscht worden, man sollte die Startseite aber unter diesem Registry-Key wieder löschen:
HKCU\Software\Microsoft\ Internet Explorer\Main\Start Page
Wenn das Programm bereits geladen wurde, muss der Key zur Ausführung gelöscht werden:
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\ Run\WIN-BUGSFIX
Die Datei selbst steht im aktuellen Download-Verzeichnis, sie heißt
WIN-BUGSFIX.EXE
und muss ebenfalls gelöscht werden.
Wer den IRC-Client “mIRC” benutzt, muss die beiden folgenden Dateien, sofern vorhanden, aus dem Programm-Verzeichnis von mIRC löschen - LoveLetter verbreitet sich sonst auch beim IRC-Chat über eine HTML-Datei, die per DCC an andere Chatter geschickt wird:
(mIRC-Verzeichnis):
script.ini
Die Warnungen in dieser Datei kann man getrost ignorieren - mIRC funktioniert nach dem Löschen immer noch, nur der Wurm wird nicht mehr verschickt.
