о вирусе ILOVEYOU

•	Главная
•	Архив новостей
•	Безопасность в Unix
•	Безопасность в Windows
•	Сборник FAQ'ов
•	Телефония, фрикинг
•	Кредитные карты
•	Криптография
•	Истории о хакерах
•	Программы, утилиты

_el@sp.sz.ru

о вирусе ILOVEYOU

Team Void

Прошло более года с тех пор, как ExplorZip должен был предупредить Microsoft об опасностях запуска при открытии почты скриптов, написанных на Visual Basic. Однако со стороны корпорации не было предпринято никаких ответных движений, и вот в очередной раз мы были поражены безрассудством компании, гоняющейся за очередными "удобствами", и не обращающей внимания на элементарную безопасность. Пользователи Microsoft Outlook были подвержены атаке нового вируса, механизм работы которого, однако, не отличался ничем особенным от его предшественников - почтовых червей. Итак, вирус приходил к жертвам в виде послания следующей структуры:

Subject:
ILOVEYOU
Body:
kindly check the attached LOVELETTER coming from me

Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs

При открытии пользователем файла LOVE-LETTER-FOR-YOU.TXT.vbs, червь производил следующие действия:

Копировал себя в системную директорию Windows под именами:
MSKernel32.vbs
LOVE-LETTER-FOR-YOU.TXT.vbs
и в директорию Windows как
Win32DLL.vbs

Далее, червь добавлял следующие ключи в реестр системы: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL

После этого червь заменял домашнюю страничку Internet Explorer'a на ссылку на исполняемый файл WIN-BUGSFIX.exe и создавал файл HTML LOVE-LETTER-FOR-YOU.HTM в системной директории Windows. I-Worm.LoveLetter использовалась для рассылки своих копий всем пользователям, содержащимся в адресных книгах Outlook.

Далее червь искал файлы типов .jpeg, .mp3, .mp2,.jpg .js, .jse, .css, .wsh, .sct, и .hta на локальных и удаленных дисках и перезаписывал их своей копией, меняя расширение на .vbs или .vbe.

Чтобы не подвергнуться атаке данного вируса, необходимо убрать: Start->Settings->Control Panel->Add/Remove Programs->Windows Setup->Accessories->Windows Scripting Host. Далее Apply->OK

Если же вы были подвержены атаке данного вируса, вам необходимо удалить следующие файлы из системы:

MSKernel32.vbs в директории Windows System
Win32DLL.vbs в Windows директории
LOVE-LETTER-FOR-YOU.TXT.vbs в директории Windows System
WinFAT32.EXE в директории Internet download
script.ini в директории mIRC (если он установлен)

Также придется подчистить системный реестр и удалить HCU\Software\Microsoft\CurrentVersion\Run\MSKernel32
HCU\Software\Microsoft\CurrentVersion\RunServer\Win32DLL
HCU\Software\Microsoft\CurrentVersion\Run\WIN_BUGSFIX

Найдите файл WIN-BUGSFIX.exe и удалите его. Удалите LOVE-LETTER-FOR-YOU.HTM из системной директории Windows.

Придется проверить и файлы типов Vbs, vbe, js, jse, css, wsh, sct, hta, vbs, jpg, jpeg, удалив зараженные. Помните, что открытие зараженного файла сведет все старания на нет.

Антивирусные компании возможно уже выпустили версии своих программ, которые лечат данный вирус, поэтому советуем обратиться на их сайты за обновлением.

И последнее: люди! будьте бдительны. Не поддавайтесь чувствам, поскольку это может стоить вам гораздо больше сиюминутных удовольствий.

исходный текст вируса.
rchik.