Autor: Mariusz Kajder (kajderm_at_polbox.com)
Data: Mon 08 May 2000 - 08:25:37 MET DST
From: Zbigniew Penkala <zbigniew_at_ff.net.pl>
Sent: Saturday, May 06, 2000 1:28 PM
Subject: opis wirusa love
> Prosze sie strzec tego wirusa :
>
> Nazwa wirusa: VBS/LoveLetter.worm
>
> Charakterystyka:
> Wirus (robak) o nazwie "I love you" jest programem napisanym w VBS (Visual
> Basic Script)załączonym do e_maila o temacie ILOVEYOU. Wiadomość zawiera
> tekst "kindly check the attached LOVELETTER coming from me". Nazwa pliku
> załącznika to LOVE-LETTER-FOR-YOU.TXT.vbs.
>
> Jeżeli użytkownik otworzy załącznik, program VBS uruchomi się przy użyciu
> Windows Scripting Host. Ten ostatni normalnie nie jest zainstalowany w
> systemie Windows 95 ani Windows NT, chyba że zainstalowano Internet
> Explorer'a 5. Przy pierwszym uruchomieniu wirus kopiuje sam siebie do
> następujących plików:
> · C:\WINDOWS\SYSTEM\MSKERNEL32.VBS
> · C:\WINDOWS\WIN32DLL.VBS
> · C:\WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS
> Dodaje również następujące wpisy do rejestru:
> ·
> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
> MSKernel32=C:\WINDOWS\SYSTEM\MSKernel32.vbs
> ·
> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
> Win32DLL=C:\WINDOWS\Win32DLL.vbs
> w celu uruchomienia wirusa przy starcie systemu.
> Robak zamienia również następujące pliki:
> · *.JPG
> · *.JPEG
> · *.MP3
> · *.MP2
>
> dodając do nich swój kod i dorzucając .VBS na końcu nazwy pliku. Tak więc
> np. plik PICT.JPG zmieni nazwę na PICT.JPG.VBS i bedzie zawierał
> wirusa.Wirus kasuje także zawartość następujących plików:
> · *.VBS
> · *.VBE
> · *.JS
> · *.JSE
> · *.CSS
> · *.WSH
> · *.SCT
> · *.HTA
> zapisując w nich swój własny kod i zmieniając rozszerzenie na *.VBS.
> Ponadto tworzy on plik o nazwie LOVE-LETTER-FOR-YOU.HTM, który zawiera kod
> wirusa i wysyła go na kanały IRC'a (przez DCC send) przy użyciu programu
> mIRC (o ile jest zainstalowany na komputerze). Dokonuje tego modyfikując
> skrypt mIRC'a SCRIPT.INI na następujący:
> [script]
> n0=on 1:JOIN:#:{
> n1= /if ( $nick == $me ) { halt }
> n2= /.dcc send $nick C:\WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.HTM
> n3=}
>
> Po krótkim czasie robak wykorzystuje z kolei program Microsoft Outlook do
> wysyłania e_maili do wszystkich adresatów, których wpisy znajdują się w
> książce adresowej. Oczywiście wszystkie wiadomości zawierają ten sam kod
> wirusa w załączniku i mają identyczną treść.
> Dodatkowo program próbuje ściągnąć z Internetu i zainstalować program
> WIN-BUGSFIX.EXE. Ten plik wykonywalny jest koniem trojańskim, który
> przechwytuje hasła i wysyła je pod adres MAILME_at_SUPER.NET.PH. Żeby ułatwić
> załadowanie w/w pliku, wirus ustawia w Internet Explorerze jako domyślną
> stronę, z której można pobrać trojana. Oto przykładowy e_mail wysyłany
przez
> program:
> From: goat1_at_192.168.0.2To: mailme_at_super.net.phSubject: Barok...
> email.passwords.sender.trojanX-Mailer: Barok...
> email.passwords.sender.trojan---by: spyderHost: goat1Username:
> Goat1IP Address: 192.168.0.2
> RAS Passwords:...
> <password information goes here>
> ...
> Cache Passwords:...
> <password information goes here>
> ...
> goatserver.goatnet/goatserver.goatnet : GOATNET\goat1:
> MAPI : MAPI
> Koń trojański przechwytujący hasła instaluje się poprzez następujący wpis
do
> rejestru Windows:
>
> ·
>
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX
> w celu uruchomienia się przy następnym starcie systemu.
> Po pierwszym uruchomieniu, trojan kopiuje sam siebie do pliku WinFAT32.EXE
w
> katalogu WINDOWS\SYSTEM\, zmieniając przy tym kolejny klucz w rejestrze:
> ·
>
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinFAT32=Wi
> nFAT32.EXE
> Wirus został wykryty 4 maja 200 r. Ryzyko zarażenia się nim jest oceniane
> jako wysokie.
>
>
> Zbigniew Penkala
>
>
> - - - - - - - - - - - - -- -- - - - - - - - - - - -
> http://www.serwistv.ff.net.pl/ zbigniew_at_ff.net.pl Tel.606714318
> - - - - - - - - - - - - - - - - - - - - - - - - -
>
>
-- Wysoka jako¶ć, niskie ceny - http://rubikon.pl
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Tue 18 May 2004 - 20:06:35 MET DST