Odp: I Love You - raz jeszcze

Autor: josh (pljosh_at_yahoo.com)
Data: Sun 07 May 2000 - 03:45:47 MET DST

• Następna wiadomość: Konik Bujany: "Re: To co sie da podziel na dwa = Microsoft stereo"
• Poprzednia wiadomość: Arkadiusz Danilecki : "Re: Odp: Odp: Odp: Odp: Koniec Microsoftu, koniec pewnej epoki ?"
• W odpowiedzi na: Piteq: "I Love You - raz jeszcze"
• Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

Użytkownik Piteq <Piteq_at_pro.onet.pl> w wiadomości do grup dyskusyjnych
napisał:uc_Q4.29880$O4.629239_at_news.tpnet.pl...
> Wszyscy gadają o tym robalu na prawo i lewo ale same ogólniki, a ja tak z
> prostej ciekawości chciałbym się dowiedzieć co jest tym pieprzonym
> załącznikiem - czyżby znowu plik Worda?
> Piteq
>
>
przedstawiam forward listu:

--
-josh
pljosh_at_yahoo.com
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Prosze sie strzec tego wirusa :
Nazwa wirusa: VBS/LoveLetter.worm
Charakterystyka:
Wirus (robak) o nazwie "I love you" jest programem napisanym w VBS (Visual
Basic Script)załączonym do e_maila o temacie ILOVEYOU. Wiadomość zawiera
tekst "kindly check the attached LOVELETTER coming from me". Nazwa pliku
załącznika to LOVE-LETTER-FOR-YOU.TXT.vbs.
Jeżeli użytkownik otworzy załącznik, program VBS uruchomi się przy użyciu
Windows Scripting Host. Ten ostatni normalnie nie jest zainstalowany w
systemie Windows 95 ani Windows NT, chyba że zainstalowano Internet
Explorer'a 5. Przy pierwszym uruchomieniu wirus kopiuje sam siebie do
następujących plików:
            .                     C:\WINDOWS\SYSTEM\MSKERNEL32.VBS
.                     C:\WINDOWS\WIN32DLL.VBS
.                     C:\WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS
 Dodaje również następujące wpisy do rejestru:
..
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
MSKernel32=C:\WINDOWS\SYSTEM\MSKernel32.vbs
..
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
Win32DLL=C:\WINDOWS\Win32DLL.vbs
w celu uruchomienia wirusa przy starcie systemu.
Robak zamienia również następujące pliki:
.                     *.JPG
.                     *.JPEG
.                     *.MP3
.                     *.MP2
dodając do nich swój kod i dorzucając .VBS na końcu nazwy pliku. Tak więc
np. plik PICT.JPG zmieni nazwę na PICT.JPG.VBS i bedzie zawierał
wirusa.Wirus kasuje także zawartość następujących plików:
.                     *.VBS
.                     *.VBE
.                     *.JS
.                     *.JSE
.                     *.CSS
.                     *.WSH
.                     *.SCT
.                     *.HTA
zapisując w nich swój własny kod i zmieniając rozszerzenie na *.VBS.
Ponadto tworzy on plik o nazwie LOVE-LETTER-FOR-YOU.HTM, który zawiera kod
wirusa i wysyła go na kanały IRC'a (przez DCC send) przy użyciu programu
mIRC (o ile jest zainstalowany na komputerze). Dokonuje tego modyfikując
skrypt mIRC'a SCRIPT.INI na następujący:
            [script]
            n0=on 1:JOIN:#:{
            n1= /if ( $nick == $me ) { halt }
            n2= /.dcc send $nick C:\WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.HTM
            n3=}
Po krótkim czasie robak wykorzystuje z kolei program Microsoft Outlook do
wysyłania e_maili do wszystkich adresatów, których wpisy znajdują się w
książce adresowej. Oczywiście wszystkie wiadomości zawierają ten sam kod
wirusa w załączniku i mają identyczną treść.
Dodatkowo program próbuje ściągnąć z Internetu i zainstalować program
WIN-BUGSFIX.EXE. Ten plik wykonywalny jest koniem trojańskim, który
przechwytuje hasła i wysyła je pod adres MAILME_at_SUPER.NET.PH. Żeby ułatwić
załadowanie w/w pliku, wirus ustawia w Internet Explorerze jako domyślną
stronę, z której można pobrać trojana. Oto przykładowy e_mail wysyłany przez
program:
From: goat1_at_192.168.0.2To: mailme_at_super.net.phSubject: Barok...
email.passwords.sender.trojanX-Mailer: Barok...
email.passwords.sender.trojan---by:             spyderHost: goat1Username:
Goat1IP             Address: 192.168.0.2
            RAS Passwords:...
            <password information goes here>
            ...
            Cache Passwords:...
            <password information goes here>
            ...
            goatserver.goatnet/goatserver.goatnet : GOATNET\goat1:
            MAPI : MAPI
Koń trojański przechwytujący hasła instaluje się poprzez następujący wpis do
rejestru Windows:
..
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX
w celu uruchomienia się przy następnym starcie systemu.
Po pierwszym uruchomieniu, trojan kopiuje sam siebie do pliku WinFAT32.EXE w
katalogu WINDOWS\SYSTEM\, zmieniając przy tym kolejny klucz w rejestrze:
..
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinFAT32=Wi
nFAT32.EXE
 Wirus został wykryty 4 maja 200 r. Ryzyko zarażenia się nim jest oceniane
jako wysokie.
Bez wirusowej soboty i niedzieli .
   Andrzej Czarnecki
POLORBITAL
tel/fax: 061/866-24-30
tel.kom.0501-297-255
e-mail: office_at_polorbital.net.pl
lub   handel_at_polorbital.net.pl
http://polorbital.net.pl
POZNAN        POLSKA

• Następna wiadomość: Konik Bujany: "Re: To co sie da podziel na dwa = Microsoft stereo"
• Poprzednia wiadomość: Arkadiusz Danilecki : "Re: Odp: Odp: Odp: Odp: Koniec Microsoftu, koniec pewnej epoki ?"
• W odpowiedzi na: Piteq: "I Love You - raz jeszcze"
• Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

To archiwum zostało wygenerowane przez hypermail 2.1.7 : Tue 18 May 2004 - 20:06:27 MET DST