Главная > Програмное обеспечение > Вирусы/Антивирусы >
О вирусе Love Letter (I Love You)

Согласно данным компании F-Secure, вирус, который распространяется через электронные почтовые сообщения, содержащие в поле "Тема" письма запись "I Love You" или "Love Letter", впервые появился 4 мая в Азии. Вероятным источником его происхождения являются Филиппины. 

По мнению экспертов, вирус I Love You может принести много больше неприятностей, чем печально известная Melissa.

По мнению Мико Хиппонена (Mikko Hypponen), руководителя исследовательской группы F-Secure, за пять последних лет еще не было вируса, столь быстро и глобально распространявшегося бы по миру: "За четыре часа со времени первого тревожного сообщения из Норвегии, поступившего в 9 утра по Гринвичу, в F-Secure уже есть данные о вирусе из более 20 стран".

Вирус распространяется как присоединенный файл (аттачмент) к электронным почтовым сообщениям под именем "Love-Letter-For-You" и поражает пользователей популярной почтовой программы Microsoft Outlook. I Love You "отправляет себя" всем респондентам из адресной книги жертвы.

Согласно Хиппонену, наибольшей опасности подвержены издательства и средства массовой информации, включая радиостанции, журналы, рекламные агенства и, в частности, те из них, кто владеет большими архивами графических и музыкальных файлов: "Большие издательства, в которые сегодня проник вирус, полностью потеряли свои фотоархивы. Это связано с тем, что I Love You удаляет определенные типы файлов, и апгрейд антивирусной базы данных позволяет удалить вирус, но не может остановить уже начавшийся процесс его разрушительного действия. Если у вас нет резервной копии файлов вне зараженной машины, считайте, что вы все потеряли".

Уже есть информация, что почтовые сообщения с I Love You были получены в Пентагоне, Федеральном Резервном Банке, Министерстве обороны США; ФБР начало расследование причин и источников распространения вируса.

Что происходит

При первом запуске вируса он копирует себя в следующие директории:

WINDOWS\SYSTEM\MSKERNEL32.VBS
WINDOWS\WIN32DLL.VBS
WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS

и добавляет следующие регистрационные ключи:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\MSKernel32=WINDOWS\SYSTEM\MSKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices\Win32DLL=WINDOWS\Win32DLL.vbs

I Love You сканирует все диски , доступ к которым можно осуществить с данной машины, в поисках файлов *.JPG и *.JPEG. Найдя их, вирус копирует себя в файлы и добавляет расширение .VBS (т.е. файл 123.JPG становится 123.JPG.VBS). Кроме того, вирус записывает себя во все файлы *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.HTA и изменяет их расширения на .VBS. При нахождении файлов *.MP3 и *.MP2, I Love You заменяет код, добавляет свое расширение и делает файл невидимым.

После небольшой паузы вирус, используя Microsoft Outlook, отправляет себя всем респондентам из адресной книги программы, а также пытается загрузить и установить программу для кражи паролей WIN-BUGSFIX.EXE , которая должна, по замыслу, найти все скешированнные пароли и отправить их по адресу MAILME@SUPER.NET.PH . Для этого вирус заменяет домашнюю страницу браузера Microsoft Internet Explorer на адрес вебсайта, автоматически загружающего на машину троянца. Если это происходит, в Реестре появляется ключ

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\WIN-BUGSFIX,

который автоматически запустит программу для кражи паролей при включении ОС. При этом троянец копирует себя в

WINDOWS\SYSTEM\WinFAT32.EXE

и заменяет соответствующий ключ Реестра на

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\WinFAT32=WinFAT32.EXE.

Вариации вируса

Согласно данным компании TrendMicro , есть пять вариаций вируса :

LOVELETTER
Тема письма - ILOVEYOU,
тело - kindly check the attached LOVELETTER coming from me,
аттачмент - LOVE-LETTER-FOR-YOU.TXT.vbs.
Распространяется по электронной почте и сетям mIRC. В последнем случае вирус отправляет файл LOVE-LETTER-FOR-YOU.HTM всем пользователям того же канала, что и "зараженный" пользователь.

Susitikim
Тема письма - Susitikim shi vakara kavos puodukui...
В начале кода содержит комментарий -
"rem Modified Lameris Tamoshius / Lithuania (Tovi systems)".

Very Funny
Аттачмент  - Very Funny.vbs,
тема - fwd: Joke,
тело - без текста,
создает файл Very Funny.HTM.

No Manila Header
Аналогичен LOVELETTER, но в коде отсутствуют два комментария -
"rem barok -loveletter(vbe) <i hate go to school>"
"rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines"

Mothersday
Тема письма - Mothers Day Order Confirmation,
тело - " We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com ",
аттачмент - mothersday.vbs.
Перенаправляет браузер на сайты http://www.hackers.com/ , http://www.l0pht.com/ , http://www.2600.com/ , http://www.hackers.com/ . mIRC-компонент пытается отправить документ mothersday.HTM.

Brainstorm
Аттачмент - ESKernel32.vbs, ES32DLL.vbs, Important.TXT.vbs,
тема - Important ! Read carefully !!,
тело - Check the attached IMPORTANT coming from me !
использует документ Important.HTM.

Что делать

Если ваша система уже заражена вирусом, то единственное, что вы можете предпринять, это удалить источник заражения.

Нажмите START|RUN
Впишите в командную строку REGEDIT и нажмите ENTER

В левой части окна нажмите на "+" против строки:
HKEY_LOCAL_MACHINE, Software, Microsoft, Windows, CurrentVersion, Run

В правой части окна найдите ключ, содержащий записи: \Windows\System\ MSKernel32.vbs" и "\WIN-BUGSFIX.exe" и удалите его.

Необходимо также найти и удалить ключ с записью  ":\Windows\System\ Win32DLL.vbs".

Выйдите из Реестра.

Нажмите START|SHUTDOWN. Выберите режим "Restart in MS-DOS mode" и нажмите OK.

После перезапуска компьютера откроется директория C:\.

Добавьте в строку запись "DEL WIN-BUGSFIX.exe".

Нажмите CTRL+ALT+DEL и пусть Windows перезагрузится.

Необходимо также найти и удалить файл VBS_LOVELETTER, что обезопасит систему от реинфицирования.

Для исправления записей в Рееестре и удаления испорченных вирусом файлов HTML и TXT, воспользуйтесь инструментом SWAT.EXE, разработанным TrendMicro.

Есть также и пара-тройка специализированных программ, которые помогут вам ликвидировать последствия разрушительных действий I Love You.

И на будущее. Не будьте чрезмерно любопытны - не стоит открывать никаких аттачментов к письмам, полученным от неизвестных вам лиц. Да и знакомые могут по неведению переслать вам зараженный файл.


Источник blackzone.h1.ru


Украинская Баннерная Сеть

Главная  Алфавитный индекс  Справка  Добавить FAQ  E-mail
Новости  Поиск по сайту

Copyright © 2001 - 2002 Olexandr Slobodyan.
Сайт создан в системе uCoz