Вирус LoveLetter
Название | LoveLetter | Alias | Lovebug, I-Worm.LoveLetter | Тип | Worm, Trojan | VBS/LoveLetter это VBScript-червь. Распространяется посредством цепочки писем.
Для распространения червь использует приложение Outlook. LoveLetter также создает VBS вирус, и распространяется, используя mIRC клиент. Когда происходит запуск, черь сначала копирует себя в дирректорию <Windows dir>/System как: MSKernel32.vbs LOVE-LETTER-FOR-YOU.TXT.vbs и в дирректорию <Windows dir>: Win32DLL.vbs Далее он добавляет запись в реестр, чтобы запускаться при каждом рестарте системы. В реест добавляются: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL Затем червь заменяет домашнюю страницу Internet Explorer линком, который указывает на executable (выполняемую)-программу, "WIN-BUGSFIX.exe". Если файл WIN-BUGSFIX.exe уде скачан, червь также добавляет информацию о нем в реестр. Таким образом программа будет выполнена после перезагрузки системы. Executable часть, которую червь загрузил из сети - троян, перехватывающий пароли. При запуске троян пытается нахйти скрытое окно с именем ' BAROK ... '. Если окно присутствует, троян немедленно завершает работу, если нет - управление получает главная часть. Троян проверяет наличие подключа WinFAT32 в ключе реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Если подключ WinFAT32 не найден, троян создает его, копирует себя в \Windows\System\ каталог как WINFAT32. EXE и затем запускается оттуда. Таким образом, изменения в системном реестре, делает троян активным при каждом запуске Windows. Затем троян утанавливает в IE startup page как 'about:blank'. Далее находит и удаляет ключи: Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds Software\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching
После этого троян регестрирует новый класс window, и создает окно с заголовком 'BAROK…' и аттрибутом hidden, Тогда троянские регистраторы новый класс окна и создает скрытое названное окно ' BAROK ... ' и остается резидентом в памяти как скрытое приложение. Немедленно после запуска и когда счетчик таймера достигает некоторого значения, троян загружает библиотеку MPR.DLL, вызывает фунцию WNETENUMCASHEDPASSWORDS, и посылает украденные RAS пароли и все cached пароли Windows на адресу 'mailme@super.net.ph', который, вероятно, принадлежит автору трояна. Для отправки письма троян использует smtp-сервис 'smtp.super.net.ph'. Subj письма - ' Barok ... email.passwords.sender.trojan '. Внутри трояна имеется строчка с копирайтом автора: barok ...i hate go to school suck - by:spyder @Copyright (c) 2000 GRAMMERSoft Group >Manila,Phils. Также в теле трояна имеются зашифрованные сообщение, используемые им для только ему понятных целей. После этого червь создает HTML файл, " LOVE-LETTER-FOR-YOU.HTM ", в дирректории System. Этот файл содержит червя, и это будет послан, используя mIRC каждый раз, когда пользователь присоединяется к IRC каналу. Далее червь будет использовать Outlook для массовой рассылки непосредственно к каждому аккаунту из адресной книги книжке. Посылаемое сообщение будет иметь вид: Subject: ILOVEYOU Body: kindly check the attached LOVELETTER coming from me. Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs LoveLetter посылается по почте один раз каждому получателю. После того, как почта была послана, добавляется маркер в реест, и получателю не будет больше отсылаться троян. Также вирус ищет файлы некоторых типов во всех папках на всех локальных и и удаленных дисках и переписывает их его собственным кодом. Файлы, которые переписываются, имеют или расширение "vbs" или "vbe". Для файлов с расширениями *.js, *.jse, *.css, *.wsh, *.sct, *.hta", вирус создает новый файл с тем же именем, но с расширением .vbs. Первоначальный файл будет удален. Затем вирус ищет файлы с *.jpg" и *.jpeg" расширением, добавляет туда же новый файл и удаляет первоначальный. Потом вирус находит *.mp3 и *.mp2 файлы, создает новый файл и прячет первоначальный файл. Созданные файлы имеют имя оригинала, с добавленным расширением .vbs. Например, для картинка с названнием "pic.jpg" будет создан новый файл, с именем "pic.jpg.vbs". LoveLetter был найден 4-ого мая, 2000. Похоже, что вирус имеет Филиппинское происхождение. В начале кода, вирус содержит следующий текст: barok -loveletter(vbe) <i hate go to school> by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines Ручное удаление LoveLetter можно быть сделано, путем удаления следующих файлов из инфицированной машины: - Все.VBS файлы со всех дисков и дирректорий;
- Файл LOVE-LETTER-FOR-YOU.HTM из каталога Windows System;
- WIN-BUGSFIX.EXE и WINFAT32. EXE из дирректории Download Internet Explorer'а.
Этот вариант вируса использует другой Subj при распространении: Subject: Susitikim shi vakara kavos puodukui... Body: kindly check the attached LOVELETTER coming from me. Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs В поле SUBJECT надпись по Литовски, которая в переводе звучит как " Давайте встретимся этим вечером для чашечки кофе ... " LoveLetter. B содержит следующий комментарий в его теле: Modified Lameris Tamoshius / Lithuania (Tovi systems)
Этот вариант размножается с сообщением: Subject: fwd: Joke Attachment: Very Funny.vbs
Этот вариант - слегка измененный вариант VBS/LOVELETTER.A.
VBS/LoveLetter. E распространяется в сообщении:
Subject: Mothers Day Order Confirmation
Body: We have proceeded to charge your credit card for the
amount of $326.92 for the mothers day diamond special.
We have attached a detailed invoice to this email.
Please print out the attachment and keep it in a safe
place.Thanks Again and Have a Happy Mothers Day!
mothersday@subdimension.com
Attachment: mothersday.vbs
Дополнительно, этот вариант удаляет все файлы с расширением *.ini" и *.bat" вместо *.jpg" и *.jpeg". Этот вариант не пытается загружать "WIN - BUGSFIX.EXE" из Internet, однако изменяет начальную страницу Internet Explorer.
Продолжение следует...
|