|
|
"ДиалогНаука" выпускает дополнение к Doctor Web для борьбы с вирусом VBS.LoveLetter (или VBS.LoveYouWorm)
В четверг появилась новая вирусная программа-червь,
быстро распространившаяся через Internet по всему миру. После анализа полученных образцов
вирусов в тот же день было выпущено дополнение к вирусной
базе программы Doctor Web. Это дополнение свободно доступно на серверах
ДиалогНауки.
Пользователям программы Doctor Web для Windows 95/98/NT достаточно
нажать кнопку "Обновить через Internet" в основном окне программы, чтобы
подключить это дополнение к вирусной базе установленного на их компьютере
Doctor Web.
Первоначально вирусу дали название VBS.LoveYouWorm, однако
впоследствии оно было изменено на общепринятое в настоящее время
VBS.LoveLetter.
Данный вирус распространяется с сообщениями электронной почты и по
каналам IRC. Письмо с вирусом легко выделить. Тема письма - "ILOVEYOU",
что сразу же бросается в глаза. В самом письме содержится текст "kindly check
the attached LOVELETTER coming from me" и присоединенный файл с именем
"LOVE-LETTER-FOR-YOU.TXT.vbs". Вирус срабатывает только в том случае, если
пользователь откроет этот присоединенный файл.
Вирус рассылает себя по всем адресам, которые найдет в адресной книге
почтовой программы MS Outlook инфицированного компьютера, а также записывает
свои копии в файлы на жестком диске (необратимо затирая тем самым их
оригинальное содержание). Жертвами вируса в частности являются картинки в
формате JPEG, программы Java Script и Visual Basic Script и целый ряд других
файлов. Также вирус "прячет" видео- и музыкальные файлы в формате MP2 и MP3.
Кроме этого, вирус совершает несколько действий по инсталляции себя в
систему и по установке некоторых дополнительных вирусных модулей, которые
сам перекачивает из Internet.
Все это говорит о том, что вирус VBS.LoveLetter - очень опасен! Кроме
прямой порчи данных и нарушения целостности защиты операционной системы,
вирус рассылает большое количество сообщений - своих копий - что загружает
компьютерные сети и серверы электронной почты. В ряде случаев вирус
парализовал работу целых офисов.
Эпидемия этого вируса подтвердила, что следование простым правилам
позволит избежать опасности, которую представляют собой
компьютерные вирусы и троянские программы. В частности, нужно очень
осторожно относиться к файлам, полученным из неизвестных источников.
Описание вируса "VBS.LoveLetter"
Вирус VBS.LoveLetter представляет собой командный файл (скрипт),
написанный на языке VBS (Visual Basic Script) и способный рассылать свои
копии по электронной почте и через IRC. Основной канал распространения -
электронная почта.
Вирус рассылает свои копии в виде сообщений электронной почты.
Характерные признаки генерируемых вирусом писем следующие:
- Поле темы письма (subject): "ILOVEYOU";
- Текст в теле письма: "kindly check the attached LOVELETTER coming from me";
- Присоединенный к письму файл: "LOVE-LETTER-FOR-YOU.TXT.vbs".
Вирус не может самостоятельно активизироваться при просмотре письма
в почтовом клиенте, но ряд моментов провоцирует пользователя-получателя
открыть присоединенный к письму файл, и, тем самым, активировать
содержащийся там вирус. Тема письма "ILOVEYOU" уже привлекает внимание.
Поскольку вирус рассылает себя по адресам, которые он находит в адресной
книге инфицированного компьютера, в поле адреса отправителя письма
зачастую оказывается адрес какого-нибудь хорошего знакомого. Кроме того,
при стандартных настройках Windows (не показывать расширения для
зарегистрированных типов файлов) расширение ".vbs" вирусного модуля может
не отображаться почтовым клиентом, и вложенный в письмо вирусный VBS-скрипт
будет показан просто как безобидный на первый взгляд "LOVE-LETTER-FOR-YOU.TXT".
При открытии этого присоединенного к письму файла вирус активируется.
При этом он:
1) Создает свои копии в системном и основном каталоге Windows:
- в системный каталог вирус записывает две копии под именами
"MSKernel32.vbs" и "LOVE-LETTER-FOR-YOU.TXT.vbs", соответственно;
- в основной каталог Windows - одну, под именем "Win32DLL.vbs".
Кроме того, регистрируется автозапуск вируса при старте Windows:
- запуск "MSKernel32.vbs" прописывается в ключе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32;
- запуск Win32DLL.vbs прописывается в ключе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL
2) Рассылает свои копии по электронной почте, используя _все_ почтовые
адреса из местной адресной книги MS Outlook. Рассылка, разумеется, идет от
имени пользователя данной системы.
3) Проверяет наличие в системном каталоге Windows некоего файла
WINFAT32.EXE и, в случае обнаружения такового, предпринимает ряд шагов для:
- загрузки с некоторого адреса в Internet файла "WIN-BUGSFIX.EXE";
- запуска этого файла "WIN-BUGSFIX.EXE".
(Смысл этих действий пока не ясен, т.к. на данный момент не удалось
обнаружить ни одного образца WIN-BUGSFIX.EXE. Во всяком случае все четыре
заложенные в вирусе адреса Internet для его загрузки уже не существуют, сообщает ДиалогНаука).
4) Вирус сканирует все доступные на компьютере-жертве диски и записывает
свои копии во все файлы с расширениями ".jpg", ".jpeg", ".js", ".css", ".vbs",
".vbe", ".jse", ".wsh", ".sct" и ".hta". Оригинальное содержание таких файлов
необратимо затирается вирусным кодом. Все такие файлы кроме того
переименовываются, получая расширение ".vbs" (за исключением тех, которые
имели расширение ".vbs" или ".vbe" изначально). Кроме этого, вирус ищет
файлы с расширениями ".mp2" и ".mp3", но не затирает их, а создает файлы с
такими же именами, но с расширениями ".vbs", записывает в эти файлы свой
код, а оригинальным файлам ставит атрибут "hidden" (скрытый).
5) Вирус создает в системном каталоге Windows так называемый "дроппер"
(инсталлятор вируса) в формате HTML под именем "LOVE-LETTER-FOR-YOU.HTM"
и затем пытается обнаружить установленный клиент для IRC (конкретно говоря - популярный пакет mIRC). В случае успеха вирус создает конфигурационный файл
SCRIPT.INI, который настраивает mIRC на автоматическую рассылку
"LOVE-LETTER-FOR-YOU.HTM" пользователям тех каналов IRC, к которым
попытается подключиться данная инфицированная система. Открытие файла
"LOVE-LETTER-FOR-YOU.HTM" в броузере приводит к установке копии вирусного
скрипта "MSKERNEL32.VBS" в систему.
Истoчник: InfoArt News Agency
|
|