Согласно
данным компании F-Secure, вирус, который распространяется через
электронные почтовые сообщения, содержащие в поле "Тема" письма
запись "I Love You" или "Love Letter", впервые появился 4 мая в
Азии. Вероятным источником его происхождения являются Филиппины.
По мнению
экспертов, вирус I Love You может принести много больше неприятностей,
чем печально известная Melissa.
По мнению
Мико Хиппонена (Mikko Hypponen), руководителя исследовательской
группы F-Secure, за пять последних лет еще не было вируса, столь
быстро и глобально распространявшегося бы по миру: "За четыре часа
со времени первого тревожного сообщения из Норвегии, поступившего
в 9 утра по Гринвичу, в F-Secure уже есть данные о вирусе из более
20 стран".
Вирус распространяется
как присоединенный файл (аттачмент) к электронным почтовым сообщениям
под именем "Love-Letter-For-You" и поражает пользователей популярной
почтовой программы Microsoft Outlook. I Love You "отправляет себя"
всем респондентам из адресной книги жертвы.
Согласно
Хиппонену, наибольшей опасности подвержены издательства и средства
массовой информации, включая радиостанции, журналы, рекламные агенства
и, в частности, те из них, кто владеет большими архивами графических
и музыкальных файлов: "Большие издательства, в которые сегодня проник
вирус, полностью потеряли свои фотоархивы. Это связано с тем, что
I Love You удаляет определенные типы файлов, и апгрейд антивирусной
базы данных позволяет удалить вирус, но не может остановить уже
начавшийся процесс его разрушительного действия. Если у вас нет
резервной копии файлов вне зараженной машины, считайте, что вы все
потеряли".
Уже есть
информация, что почтовые сообщения с I Love You были получены в
Пентагоне, Федеральном Резервном Банке, Министерстве обороны США;
ФБР начало расследование причин и источников распространения вируса.
Что происходит
При первом запуске вируса он копирует себя в следующие директории:
WINDOWS\SYSTEM\MSKERNEL32.VBS
WINDOWS\WIN32DLL.VBS
WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS
и добавляет
следующие регистрационные ключи:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\MSKernel32=WINDOWS\SYSTEM\MSKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices\Win32DLL=WINDOWS\Win32DLL.vbs
I Love You
сканирует все диски , доступ к которым можно
осуществить с данной машины, в поисках файлов *.JPG и *.JPEG. Найдя
их, вирус копирует себя в файлы и добавляет расширение .VBS (т.е.
файл 123.JPG становится 123.JPG.VBS). Кроме того, вирус записывает
себя во все файлы *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT,
*.HTA и изменяет их расширения на .VBS. При нахождении файлов *.MP3
и *.MP2, I Love You заменяет код, добавляет свое расширение и делает
файл невидимым.
После небольшой паузы вирус, используя Microsoft Outlook, отправляет
себя всем респондентам из адресной книги программы, а также пытается
загрузить и установить программу для кражи паролей WIN-BUGSFIX.EXE
, которая должна, по замыслу, найти все скешированнные
пароли и отправить их по адресу
MAILME@SUPER.NET.PH . Для этого вирус заменяет домашнюю страницу
браузера Microsoft Internet Explorer на адрес вебсайта, автоматически
загружающего на машину троянца. Если это происходит, в Реестре появляется
ключ
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\WIN-BUGSFIX,
который автоматически
запустит программу для кражи паролей при включении ОС. При этом
троянец копирует себя в
WINDOWS\SYSTEM\WinFAT32.EXE
и заменяет
соответствующий ключ Реестра на
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\WinFAT32=WinFAT32.EXE.
Вариации вируса
Согласно данным компании
TrendMicro , есть пять вариаций вируса
:
LOVELETTER
Тема письма - ILOVEYOU,
тело - kindly check the attached LOVELETTER coming from me,
аттачмент - LOVE-LETTER-FOR-YOU.TXT.vbs.
Распространяется по электронной почте и сетям mIRC. В последнем
случае вирус отправляет файл LOVE-LETTER-FOR-YOU.HTM всем пользователям
того же канала, что и "зараженный" пользователь.
Susitikim
Тема письма - Susitikim shi vakara kavos puodukui...
В начале кода содержит комментарий -
"rem Modified Lameris Tamoshius / Lithuania (Tovi systems)".
Very
Funny
Аттачмент - Very Funny.vbs,
тема - fwd: Joke,
тело - без текста,
создает файл Very Funny.HTM.
No
Manila Header
Аналогичен LOVELETTER, но в коде отсутствуют два комментария -
"rem barok -loveletter(vbe) <i hate go to school>"
"rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines"
Mothersday
Тема письма - Mothers Day Order Confirmation,
тело - " We have proceeded to charge your credit card for the
amount of $326.92 for the mothers day diamond special. We have
attached a detailed invoice to this email. Please print out the
attachment and keep it in a safe place.Thanks Again and Have a
Happy Mothers Day! mothersday@subdimension.com ",
аттачмент - mothersday.vbs.
Перенаправляет браузер на сайты
http://www.hackers.com/ ,
http://www.l0pht.com/ , http://www.2600.com/
, http://www.hackers.com/
. mIRC-компонент пытается отправить документ mothersday.HTM.
Brainstorm
Аттачмент - ESKernel32.vbs, ES32DLL.vbs, Important.TXT.vbs,
тема - Important ! Read carefully !!,
тело - Check the attached IMPORTANT coming from me !
использует документ Important.HTM.
Что делать
Если ваша система уже заражена вирусом, то единственное,
что вы можете предпринять, это удалить источник заражения.
Нажмите
START|RUN
Впишите в командную строку REGEDIT и нажмите ENTER
В левой
части окна нажмите на "+" против строки:
HKEY_LOCAL_MACHINE, Software, Microsoft, Windows, CurrentVersion,
Run
В правой
части окна найдите ключ, содержащий записи: \Windows\System\ MSKernel32.vbs"
и "\WIN-BUGSFIX.exe" и удалите его.
Необходимо
также найти и удалить ключ с записью ":\Windows\System\
Win32DLL.vbs".
Выйдите
из Реестра.
Нажмите
START|SHUTDOWN. Выберите режим "Restart in MS-DOS mode" и нажмите
OK.
После перезапуска
компьютера откроется директория C:\.
Добавьте
в строку запись "DEL WIN-BUGSFIX.exe".
Нажмите
CTRL+ALT+DEL и пусть Windows перезагрузится.
Необходимо
также найти и удалить файл VBS_LOVELETTER, что обезопасит систему
от реинфицирования.
Для исправления
записей в Рееестре и удаления испорченных вирусом файлов HTML
и TXT, воспользуйтесь инструментом
SWAT.EXE, разработанным TrendMicro.
Есть также
и пара-тройка специализированных программ, которые помогут вам
ликвидировать последствия разрушительных действий I Love You.
И на будущее.
Не будьте чрезмерно любопытны - не стоит открывать никаких аттачментов
к письмам, полученным от неизвестных вам лиц. Да и знакомые могут
по неведению переслать вам зараженный файл.
Источник blackzone.h1.ru
|