InfoCity
InfoCity - виртуальный город компьютерной документации
Реклама на сайте



Электропневмоклапан АЭ056 allcompressors.ru.



Размещение сквозной ссылки

 

Вирус LoveLetter


Название LoveLetter
Alias Lovebug, I-Worm.LoveLetter
Тип Worm, Trojan

VBS/LoveLetter это VBScript-червь. Распространяется посредством цепочки писем.

LoveLetter.A


Для распространения червь использует приложение Outlook. LoveLetter также создает VBS вирус, и распространяется, используя mIRC клиент.
Когда происходит запуск, черь сначала копирует себя в дирректорию <Windows dir>/System как:

    MSKernel32.vbs
    LOVE-LETTER-FOR-YOU.TXT.vbs

и в дирректорию <Windows dir>:

    Win32DLL.vbs

Далее он добавляет запись в реестр, чтобы запускаться при каждом рестарте системы. В реест добавляются:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL

Затем червь заменяет домашнюю страницу Internet Explorer линком, который указывает на executable (выполняемую)-программу, "WIN-BUGSFIX.exe". Если файл WIN-BUGSFIX.exe уде скачан, червь также добавляет информацию о нем в реестр. Таким образом программа будет выполнена после перезагрузки системы.
Executable часть, которую червь загрузил из сети - троян, перехватывающий пароли. При запуске троян пытается нахйти скрытое окно с именем ' BAROK ... '. Если окно присутствует, троян немедленно завершает работу, если нет - управление получает главная часть. Троян проверяет наличие подключа WinFAT32 в ключе реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.
Если подключ WinFAT32 не найден, троян создает его, копирует себя в \Windows\System\ каталог как WINFAT32. EXE и затем запускается оттуда. Таким образом, изменения в системном реестре, делает троян активным при каждом запуске Windows.
Затем троян утанавливает в IE startup page как 'about:blank'. Далее находит и удаляет ключи:

    Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds
    Software\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching
    .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds
    .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching

После этого троян регестрирует новый класс window, и создает окно с заголовком 'BAROK…' и аттрибутом hidden, Тогда троянские регистраторы новый класс окна и создает скрытое названное окно ' BAROK ... ' и остается резидентом в памяти как скрытое приложение.
Немедленно после запуска и когда счетчик таймера достигает некоторого значения, троян загружает библиотеку MPR.DLL, вызывает фунцию WNETENUMCASHEDPASSWORDS, и посылает украденные RAS пароли и все cached пароли Windows на адресу 'mailme@super.net.ph', который, вероятно, принадлежит автору трояна. Для отправки письма троян использует smtp-сервис 'smtp.super.net.ph'. Subj письма - ' Barok ... email.passwords.sender.trojan '.
Внутри трояна имеется строчка с копирайтом автора:

    barok ...i hate go to school suck -
    by:spyder @Copyright (c) 2000 GRAMMERSoft Group >Manila,Phils.

Также в теле трояна имеются зашифрованные сообщение, используемые им для только ему понятных целей.
После этого червь создает HTML файл, " LOVE-LETTER-FOR-YOU.HTM ", в дирректории System. Этот файл содержит червя, и это будет послан, используя mIRC каждый раз, когда пользователь присоединяется к IRC каналу.

Далее червь будет использовать Outlook для массовой рассылки непосредственно к каждому аккаунту из адресной книги книжке. Посылаемое сообщение будет иметь вид:

    Subject: ILOVEYOU
    Body: kindly check the attached LOVELETTER coming from me.
    Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs

LoveLetter посылается по почте один раз каждому получателю. После того, как почта была послана, добавляется маркер в реест, и получателю не будет больше отсылаться троян. Также вирус ищет файлы некоторых типов во всех папках на всех локальных и и удаленных дисках и переписывает их его собственным кодом. Файлы, которые переписываются, имеют или расширение "vbs" или "vbe".
Для файлов с расширениями *.js, *.jse, *.css, *.wsh, *.sct, *.hta", вирус создает новый файл с тем же именем, но с расширением .vbs. Первоначальный файл будет удален. Затем вирус ищет файлы с *.jpg" и *.jpeg" расширением, добавляет туда же новый файл и удаляет первоначальный. Потом вирус находит *.mp3 и *.mp2 файлы, создает новый файл и прячет первоначальный файл. Созданные файлы имеют имя оригинала, с добавленным расширением .vbs. Например, для картинка с названнием "pic.jpg" будет создан новый файл, с именем "pic.jpg.vbs".
LoveLetter был найден 4-ого мая, 2000. Похоже, что вирус имеет Филиппинское происхождение. В начале кода, вирус содержит следующий текст:

    barok -loveletter(vbe) <i hate go to school>
    by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines

Ручное удаление LoveLetter можно быть сделано, путем удаления следующих файлов из инфицированной машины:

  • Все.VBS файлы со всех дисков и дирректорий;
  • Файл LOVE-LETTER-FOR-YOU.HTM из каталога Windows System;
  • WIN-BUGSFIX.EXE и WINFAT32. EXE из дирректории Download Internet Explorer'а.

LoveLetter.B



Этот вариант вируса использует другой Subj при распространении:

    Subject: Susitikim shi vakara kavos puodukui...
    Body: kindly check the attached LOVELETTER coming from me.
    Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs
В поле SUBJECT надпись по Литовски, которая в переводе звучит как " Давайте встретимся этим вечером для чашечки кофе ... "
LoveLetter. B содержит следующий комментарий в его теле:

    Modified Lameris Tamoshius / Lithuania (Tovi systems)

LoveLetter.C


Этот вариант размножается с сообщением:

    Subject: fwd: Joke
    Attachment: Very Funny.vbs

LoveLetter.D


Этот вариант - слегка измененный вариант VBS/LOVELETTER.A.

LoveLetter.E


VBS/LoveLetter. E распространяется в сообщении:

      Subject:    Mothers Day Order Confirmation

          Body:       We have proceeded to charge your credit card for the

                      amount of $326.92 for the mothers day diamond special.

                      We have attached a detailed invoice to this email.

                      Please print out the attachment and keep it in a safe

                      place.Thanks Again and Have a Happy Mothers Day!

                      mothersday@subdimension.com

          Attachment: mothersday.vbs

Дополнительно, этот вариант удаляет все файлы с расширением *.ini" и *.bat" вместо *.jpg" и *.jpeg". Этот вариант не пытается загружать "WIN - BUGSFIX.EXE" из Internet, однако изменяет начальную страницу Internet Explorer.

LoveLetter.F


Продолжение следует...


Реклама на InfoCity

Яндекс цитирования



Финансы: форекс для тебя



Три старика настойка горькие настойки три старика sordis.ru.




1999-2009 © InfoCity.kiev.ua