Der Wurm ist in der Anlage zu einer in englischer Sprache gehaltenen Email in Form eines Basic-Programmes (Visual Basic Script, VBS) enthalten. Die Email hat den Betreff (auch "Subject") ILOVEYOU und enthält den kurzen Text "kindly check the attached LOVELETTER coming from me". Er wird aktiviert, wenn die Anlage durch "Anklicken" gestartet wird. Voraussetzung ist, dass ein Interpreter für VBS verfügbar ist, z.B. der Microsoft Internet-Explorer oder der Windows Scripting Host (WSH). Unix-Systeme sind nicht gefährdet. Die Verbreitungsmethode ist vom Melissa-Virus her bekannt: LoveLetter verteilt sich selbst als Anhang von Emails (Attachment). Dieses hat die Bezeichnung "LOVE-LETTER-FOR-YOU.TXT.vbs". Die Endung .vbs wird nicht immer angezeigt, dadurch wirkt die Anlage dann weniger verdächtig.

Der Virus hat eine ganze Reihe von Schadensfunktionen. Wird das Attachment gestartet und damit der Virus aktiviert, so verändert Loveletter als erstes den Registryeintrag "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout". Danach kopiert der Virus sich selbst in das Windows bzw. Windows\System-Verzeichnis.

Der Virus führt eine Veränderung der Registry durch und versucht, mit dem Internet Explorer die Datei "WIN-BUGSFIX.exe" von 4 möglichen URLs (http://www.skyinet.net...) zu laden. War der Download erfolgreich, nimmt der Virus einen weiteren Eintrag in der Registry vor und setzt die Startseite des Explorers auf About:Blank. Danach erzeugt der Virus eine HTML-Datei mit dem Namen "LOVE-LETTER-FOR-YOU.htm" im Windows-Systemverzeichnis. Diese enthält ebenfalls den Programmcode, um den eigentlichen Virus über IRC zu verbreiten. Über die MAPI/Outlook-Schnittstelle erzeugt der Virus eine Mail mit den genannten Betreff und Inhalt und verschickt diese an alle Eintragungen im Email-Adressbuch des Anwenders.

Zuletzt durchsucht der Virus sämtliche Laufwerke nach Dateien mit den Endungen VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, MP3, MP2, JPG und JPEG. Die Script-Dateien werden mit dem Viruscode komplett überschrieben, die MP3- und MP2-Dateien werden als versteckt markiert und gleichnamige mit der zusätzlichen Endung .VBS erzeugt. Hierin ist der Virus-Code enthalten. JPG-Dateien werden gelöscht und eine gleichnamige Datei mit der zusätzlichen Endung .VBS erzeugt, die den Virus enthält (Beispiel: BILD.jpg wird BILD.jpg.vbs).

Die Schäden, die dieser Virus angerichtet hat, waren enorm: Aufgrund der Eigenschaft dass er sich automatisch an alle sich im Adressbuch von Microsoft Outlook befindlichen Adressanten weitergeschickt hatte, breitete er sich nicht nur rasend aus sondern legte auch noch viele Email- Server für Stunden lahm. Sowohl die Industrie- und Handelskammer Frankfurt am Main als auch das US-Außenministerium schätzten die wirtschaftlichen Schäden aufgrund von Betriebsausfällen auf ungefähr 30 bis 35 Milliarden Mark. "Die Verluste wären geringer ausgefallen, wenn mehr Unternehmen Sicherheitsvorkehrungen getroffen hätten", sagt zum Beispiel Christoph Wilhelm, Projektleiter IT-Sicherheit bei der FTT Future Technology Team GmbH. "In zu vielen Unternehmen gilt das Motto: Hauptsache, wir sind vernetzt; Hauptsache, wir sind im Internet. Um die Sicherheit kann man sich ja später kümmern."

Umso bedenklicher scheint es, dass die Internet- Gemeinde nur zaghaft auf die wachsende Bedrohung der Cyberkriminalität zu reagieren scheint.

Die Gefahr der neuen Kombination aus zwei Virentypen liegt in der Fähigkeit des 32-Bit-Infektors CTX, sich durch seinen Wirt, den Wurm Cholera, rasant über alle gängigen Email-Dienste zu verbreiten. Wir verdanken diese Symbiose einem Mitglied der bekannten 29A Labs-Gruppe, die damit demonstriert, wie wirkungsvoll die Kombination von Win32-Viren und Internet-Wurm funktioniert. Cholera beweist, dass Win32-Viren, wie etwa der CIH (Tschernobyl-Virus), ihre "schwache" Verbreitungsfähigkeit mittels Wurm-Technologien überwinden und Verbreitungspotentiale erreichen können, die bislang nur Würmern und Makroviren vorbehalten waren.

Wie oft bei derartigen "Technologie-Demos" beinhaltet Cholera keine ursächliche Schadensfunktion. Gefährlich wird er erst dadurch, dass er - ähnlich Melissa - durch Überlastung der befallenen Mailserver den Email-Fluss völlig zum Erliegen bringt. Zugute kommt ihm dabei die Sorglosigkeit vieler Anwender. Er verschickt sich selbstständig an alle auf der Festplatte zu findenden Email-Adressen.

Cholera zeigt sich als einfaches ":)" Smile-Zeichen und einem "Setup.exe"-Attachment. Er ähnelt damit einem selbstextrahierenden Setup eines möglichen Scherzprogrammes. Aktiv wird Cholera sofort nach dem Start. Er infiziert das System mit beiden Virentypen und tarnt seine Aktion mit einer Falschmeldung: "Cannot open file: it does not appear to be a valid archive. If you downloaded this file, try downloading the file again."

Der Anwender erliegt der trügerischen Sicherheit, dass keinerlei Programme aktiv wurden.

Unmittelbar nach dem Start kopiert sich der Cholera-Wurm in das Windows Verzeichnis und verändert die WIN.INI. Dies dient zu seiner eigenen Sicherheit, um bei jedem weiteren Neustart des PCs aktiv werden zu können. Als speicherresidenter Virus infiziert er jede gestartete Internet-Applikation (TelNet, mIRC, Netscape, IExplorer). Cholera liest Email-Adressen aus allen EML, HTM, HTML, DBX, MBX, IDX, NCH und TXT-Dateien aus und versendet sich an diese. Dadurch verbreitet sich Cholera rasant. Im Gegensatz zu anderen Würmern verwendet Cholera keine MAPI Routinen, um sich über Mailbrowser zu verbreiten sondern nutzt seine eigene SMTP Engine. So kann er seinen Code vom Anwender unbemerkt verbreiten.

Der eigentliche Virus CTX sucht Windows Applikationen mittels CRCs (also Checksummen) und nicht wie bei anderen Viren üblich, nach Applikationsnamen. Dadurch erreicht er auch APIs, welche aus Sicherheitsgründen umbenannt wurden.CTX infiziert alle erreichbaren Windows PE Executeables. Der Virus ist verschlüsselt, um sich einer erfolgreichen Analyse möglichst lange zu widersetzen. Im Gegensatz zum Wurm Cholera, verursacht CTX keinen Schaden.

Die Funktionalität dieser neuen Symbiose lässt das ungeheure Schadenspotential möglicher Nachfolger mit zerstörerischer Absicht erkennen. Cholera wurde bereits in Hacker-Newsgroups gepostet, jedoch bis heute nicht ITW, also in Umlauf, gemeldet. Der Anwender selbst kann der erfolgreichen Verbreitung des Virus durch ein gesundes Maß an Vorsicht und Vermeiden des "Klick auf alles was sich bewegt" Reflexes entgegenwirken.