Igiho stránka o virech
Novinky
Kniha o virech
1.Pomoc
Testy
Odkazy
Download
AV-Konference
Akce
Autor

VBS/LoveLetter.A

Červ I_LOVE_YOU (LoveLetter) se šíří v e-mailech, ke kterým se připojuje ve formě souboru LOVE-LETTER-FOR-YOU.TXT.VBS (kolem 10 KB). Subjekt "infikované" e-mailové zprávy zní: "ILOVEYOU". V těle zprávy je obsažen text: "kindly check the attached LOVELETTER coming from me.". "Dvojitá" přípona u souboru má za následek, že v některých klientech již neni část za druhou tečkou viditelná. Takový soubor se pak tváří jako obyčejný textový soubor (TXT), ve skutečnosti však obsahuje "zrůdnost" I_LOVE_YOU. Pro šíření potřebuje program MS Outlook (odtud bere e-mailové adresy dalších obětí, na které se automaticky rozešle) a nainstalovanou podporu WSH - Windows Scripting Host (aby bylo možné používat VBS). Po spuštění souboru LOVE-LETTER-FOR-YOU.TXT.VBS se červ "usadí" v systému. Vytvoří nové klíče v registrech:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL

V adresáři C:\WINDOWS\SYSTEM pak vytvoří soubory MSKERNEL32.VBS a Win32DLL.VBS. Na pevných i síťových discích vyhledává soubory s příponou VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, jejichž obsah přepíše svým tělem a příponu změní na VBS. V případě souborů s příponou JPG či JPEG je vytvořena "dvojitá" přípona - původní + .VBS. Jediné soubory s příponou MP2 a MP3 o které se virus zajímá, zůstanou ušetřeny: červ totiž nejprve vytvoří kopie těchto souborů - ty pak následně přepíše vlastním tělem a vytvoří na nich "dvojitou" příponu (původní_název.MP3.VBS). Pokud neexistuje soubor C:\WINDOWS\WINFAT32.EXE, nastaví domovskou stránku Internet Exploreru tak, aby ze serveru http://www.skyinet.net stahoval soubor WIN-BUGSFIX.EXE. Tento soubor obsahuje další výtvor - trojského koně. Po aktivaci se tento trojan usadí právě do souboru WINFAT32.EXE a někam na Filipíny se snaží přes e-mail odesílat nakradená data (uživatelské jméno, IP, hesla atd.). Červ I_LOVE_YOU může dorazit i přes IRC...

LoveLetter.E

Subjekt: Dangerous Virus Warning,
text zprávy: There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it.,
příloha: virus_warning.jpg.vbs.

Zpět