VIRUS INFO
|
| Naziv
virusa: |
VBS/Loveletter |
| Alias:
|
VBS/Loveletter-C,
VBS/Loveletter-D, VBS/Loveletter-E, Susitikum |
| Tip: |
worm |
| Način
širenja: |
e-mailom
ili preko IRC-a ili mIRC-a. |
| Veličina: |
|
Destruktivan:
|
da |
| Datum
aktiviranja: |
čim
se startuje. |
| Otkriven:
|
4.05.2000.
|
OBJAŠNJENJE
Ovo
je VBScript crv sa kvalitetom "pravog"
virusa. Ovaj crv će Vam stići kao e-mail poruka:
Subject: "ILOVE YOU" ili "Susitikim
shi vakara kavos puodukui..". ili "Joke"
Message "kindly check the attached LOVELETTER
coming from me."
Attachment "LOVE-LETTER-FOR-YOU.TXT.vbs"
ili "VeryFunny.vbs".
Kada korisnik startuje attachment virus će se
startovati pomoću Windows Scripting Host programa.
Ovo nije standardna opcija kada se instaliraWindows
9x, jedino ako je kasnije doinstalirano ručni
ili kada je instaliran Internet Explorer 5.0.
Kada se crv pokrene, prave se sledeći fajlovi:
C:\ WINDOWS \ SYSTEM \ MSKERNEL32.VBS
C:\ WINDOWS \ WIN32DLL.VBS
C:\ WINDOWS \ SYSTEM\ LOVE-LETTER-FOR-YOU.TXT.VBS.
A takođe se "ugnjezdi" u registry:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ Run \
MSKernel32=C:\ WINDOWS \ SYSTEM \ MSKernel32.vbs
i
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ RunServices \ Win32DLL=C:\
WINDOWS \ Win32DLL.vbs
kako bi obezbedio sebe da će se startovati svaki
put kada se Windows startuje.
Virus, takođe, sve fajlove koji imaju ekstenziju
*.JPG; *.JPEG; *.MP3 i *.MP2 sa svojom kopijom
dodajući im i ekstenziju .VBS (slika.jpg posle
infiociranja je slika.jpg.vbs). Fajlovi koji imaju
ekstanzije *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH,
*.SCT i *.HTA su takođe inficirane ovim virusom
i doda im ekstentiju .VBS.
Kada se virus proširi po računaru na kraju procedure
se kreira fajl LOVE-LETTER-FOR-YOU.HTM
koji sadrži virus, i šalje ga preko IRC ili mIRC
kanala svim korisnicima koji su na spisku. Ovo
je omogućeno timešto je virus već inficirao fajl
SCRIPT.INI. Posle kraće pauze virus koristi
Microsoft Outlook da bi se poslao svima koji se
nalaze u Address booku. Poruka koja je tom prilikom
poslata je identična onoj koju je, sada već zaraženi,
korisnik dobio.
Da bi bilo još zanimljivije, virus kada detektuje
da je korisnik online, downloaduje fajl WIN-BUGFIX.EXE
koji je u stvari program za krađu korisničkih
šifri koji će ukrasti sve keširane šifre i poslati
na adresu MAILME@SUPER.NET.PH. Da korisnik
ne bi primetio da virus downloaduje prigram, korisnikov
Internet Explorer će usmeriti na sajt na kome
se nalazi trojanac za krađu šifri.
Ovako izgleda e-mail koji šalje program koji je
ukrao korisnikovu šifru:
-------------copy of email sent-----------
From: goat1@192.168.0.2To: mailme@super.net.ph
Subject: Barok... email.passwords.sender.trojan
X-Mailer: Barok... email.passwords.sender.
trojan---by: spyder
Host: [machine name]
Username: [user name]
IP Address: [victim IP address]
RAS Passwords:...[victim password info]
Cache Passwords:...[victim password info]
-------------copy of email sent-----------
Da bi se autor virusa informisao o
svakoj promeni korisničke šifre, virus
napravi ključ u registry bazi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows
\ CurrentVersion \ Run \ WIN-BUGSFIX
kako bi se startovao sledeći put kada se Microsoft
Windows startuje. Kada se Windows startuje, virus
kreira WINDOWS \ SYSTEM \ WINFAT32.EXE
fajl i promeni ključ u registriju:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ Run \
WinFAT32=WinFAT32.EXE
REŠENJE
osveženi
antivirusni program i pazite šta dobijate
od prijatelja.
|
