ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.VBS.LoveLetter

Data de detecção 08/18/2000
Classe Email-Worm
Plataforma VBS
Descrição

Detalhes técnicos

Este é o worm da Internet que causou a epidemia global no início de maio de 2000. O worm se espalha via e-mail enviando mensagens infectadas de computadores afetados. Ao se espalhar, o worm usa o MS Outlook e se envia para todos os endereços que estão armazenados no Catálogo de Endereços do MS Outlook. Como resultado, um computador infectado envia tantas mensagens para quantos endereços forem mantidos na lista de contatos do MS Outlook.

O worm é escrito na linguagem de script "Visual Basic Script" (VBS). Ele opera somente em computadores nos quais o WSH (Windows Scripting Host) foi instalado. No Windows 98 e no Windows 2000, o WHS é instalado por padrão. Para se espalhar, o worm acessa o MS Outlook e usa suas funções e listas de endereços, disponíveis apenas no Outlook 98/2000, para que o worm seja capaz de se espalhar somente no caso de uma dessas versões do MS Oulook estar instalada.

Quando executado, o worm envia suas cópias por e-mail, instala-se no sistema, realiza ações destrutivas, faz o download e instala um programa de Trojan. O worm também tem a capacidade de se espalhar através dos canais mIRC.

O worm contém sequências de "direitos autorais":

barok -loveletter (vbe) <eu odeio ir para a escola>
por: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila, Filipinas

Espalhando

O worm chega a um computador como uma mensagem de e-mail com um arquivo VBS anexado que é o próprio worm. A mensagem na versão original do worm possui:

 O assunto: ILOVEYOU 
Corpo da mensagem: gentilmente verifique o LOVELETTER anexado vindo de mim.
Nome do arquivo anexado: LOVE-LETTER-FOR-YOU.TXT.vbs

Após a ativação por um usuário, (clicando duas vezes em um arquivo anexado) o worm abre o MS Outlook, obtém acesso ao Catálogo de Endereços, obtém todos os endereços de lá e envia mensagens com a cópia anexada para todos eles. O assunto da mensagem, o corpo e o nome do arquivo anexado são os mesmos acima.

O worm também se instala no sistema. Cria suas cópias nos diretórios do Windows com os nomes:

 no diretório Windows: WIN32DLL.VBS
 
 no diretório de sistema do Windows: MSKERNEL32.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS

Esses arquivos são registrados na seção de execução automática do Windows no registro do sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL = Win32DLL.VBS

Como resultado, o worm é reativado toda vez que o Windows é inicializado.

O worm também cria um dropper HTM no diretório do sistema Windows para usá-lo durante a propagação para os canais mIRC (veja abaixo). Esta cópia tem o seguinte nome:

LOVE-LETTER-FOR-YOU.TXT.HTM

Baixando um arquivo de Trojan

Para instalar o programa Trojan no sistema, o worm modifica o URL para a página inicial do Internet Explorer. O novo URL aponta para um site da Web (selecionado aleatoriamente de quatro variantes) e força o Explorer a baixar um arquivo EXE de lá. Esse arquivo tem o nome WIN-BUGSFIX.EXE e é o programa de Trojan. O worm registra esse arquivo no registro do sistema em uma seção de execução automática:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGSFIX = WIN-BUGSFIX.exe

Na próxima execução, o Internet Exlorer faz o download do cavalo de Troia e o armazena no diretório de download do sistema. Na próxima inicialização do Windows, o Trojan obtém o controle e copia a si mesmo para o diretório de sistema do Windows com o nome WINFAT32.EXE.

Quando o Trojan é instalado no sistema, o worm define a página inicial do Internet Explorer em branco ("about: blank").

O arquivo baixado e instalado é um Trojan que rouba senhas. Ele obtém o nome da máquina local e o endereço IP, o (s) login (s) e a (s) senha (s) da rede, as informações do RAS etc. e os envia ao host do Trojan. As amostras que foram analisadas enviam mensagens para "mailme@super.net.ph", o assunto da mensagem é semelhante ao seguinte:

Barok … email.passwords.sender.trojan

Espalhando para os canais de IRC

O worm verifica as unidades locais e procura por arquivos:

MIRC32.EXE, MLINK32.EXE, MIRC.INI, SCRIPT.INI, MIRC.HLP

Caso pelo menos um desses arquivos seja encontrado em um subdiretório, o worm lança um novo arquivo SCRIPT.INI para lá. Esse arquivo contém instruções mIRC que enviam uma cópia do worm (o arquivo LOVE-LETTER-FOR-YOU.TXT.HTM) para todos os usuários que ingressam no canal do IRC infectado.

O arquivo SCRIPT.INI contém os comentários:

Script mIRC
Por favor, não edite este script … o mIRC irá corromper, se o mIRC
corrompido … O WINDOWS afetará e não será executado corretamente. obrigado

Khaled Mardam-Bey
http://www.mirc.com

Quando um usuário de IRC recebe esse HTML infectado, ele é copiado para um diretório de download do IRC. O worm é ativado a partir desse arquivo apenas no caso de o usuário clicar nele. Como as configurações de segurança do navegador não permitem que os scripts acessem arquivos de disco e exibam uma mensagem de aviso, o worm usa um truque para evitar isso. Primeiro, ele exibe uma mensagem para enganar o usuário:

Este arquivo HTML precisa de controle ActiveX
Para ativar para ler este arquivo HTML
– Por favor, pressione o botão 'YES' para ativar o ActiveX

Caso o usuário realmente clique em 'SIM', o worm obtém acesso aos arquivos do disco e se instala no sistema. Ele descarta seu código VBS para o diretório de sistema do Windows com o nome MSKERNEL32.VBS e o registra na seção de execução automática do Windows no registro do sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS

No caso de 'NO' ser escolhido, o worm intercepta o movimento do mouse e pressiona os eventos e se recarrega. Como resultado, um usuário recebe uma mensagem de aviso em um loop sem fim até pressionar 'YES'.

Ação destrutiva

O worm verifica as árvores de subdiretórios em todas as unidades locais e mapeadas disponíveis, lista todos os arquivos lá e, dependendo da extensão do nome do arquivo, executa ações:

  • VBS, VBE: o worm sobrescreve esses arquivos com seu corpo VBS. Como resultado, todos os programas VBS e VBE no sistema são sobrescritos com o código do worm.
  • JS, JSE, CSS, WSH, SCT, HTA: o worm cria um novo arquivo com um nome de arquivo original mais a extensão ".VBS" e exclui o arquivo original; Ou seja, o worm sobrescreve esses arquivos com seu código e os renomeia com a extensão VBS. Por exemplo, "TEST.JS" é "TEST.VBS".
  • JPG, JPEG: o worm faz o mesmo que acima, mas adiciona uma extensão ".VBS" ao nome completo do arquivo (não renomeia para ".VBS"). Por exemplo, "PIC1.JPG" se torna "PIC1.JPG.VBS".
  • MP2, MP3: o worm cria um novo arquivo com a extensão ".VBS" (para "SONG.MP2", o worm cria o arquivo "SONG.MP2.VBS"), grava seu código ali e configura o atributo do arquivo " oculto "para o arquivo original.

Outras variantes

O worm em si é um programa de script de texto, e é espalhado em forma de fonte de texto. O código do worm pode ser facilmente modificado por hackers e, como resultado, há muitas variantes do worm original. A maioria deles são apenas pequenos remakes e diferem do verme original apenas em detalhes – há textos de campos de mensagens alterados, diferentes nomes de arquivos, diferentes conjuntos de extensões de arquivos de disco afetados (por exemplo, .BAT e .INI).

O Assunto, o corpo da mensagem e o nome do arquivo anexado em diferentes variantes aparecem conforme listado abaixo (o primeiro bloco pertence à versão original do worm):

 Assunto / corpo / nome do anexo

 EU TE AMO
   gentilmente verifique o LOVELETTER anexado vindo de mim.
 LOVE-LETTER-FOR-YOU.TXT.vbs

 Confirmação da ordem do dia das mães
   Passamos a cobrar seu cartão de crédito pelo valor de US $ 326,92
   para o dia especial das mães. Nós anexamos um detalhado
   fatura para este email. Por favor, imprima o anexo e mantenha-o em
   lugar seguro. Obrigado outra vez e tenha um dia de matrizes feliz!
   mothersday@subdimension.com
 mothersday.vbs

 fwd: piada
    - nenhum corpo da mensagem na mensagem
 Muito engraçado.vbs

 Susitikim shi vakara kavos puodukui ...
   gentilmente verifique o LOVELETTER anexado vindo de mim.
 LOVE-LETTER-FOR-YOU.TXT.vbs

 Importante! Leia cuidadosamente !!
   Verifique o IMPORTANTE anexado vindo de mim!
 IMPORTANT.TXT.vbs

 Aviso de vírus perigoso
   Há um vírus perigoso circulando.
   Por favor, clique na imagem anexada para visualizá-la e aprenda a evitá-la.
 virus_warning.jpg.vbs

 Como se proteger do bug IL0VEY0U!
   Aqui está a maneira mais fácil de consertar o vírus do amor.
 Instruções de proteção contra vírus.vbs

 Obrigado por voar com a Arab Airlines
   Por favor, verifique se a conta está correta, abrindo o arquivo anexado.
 ArabAir.TXT.vbs

 Bewerbung Kreolina
   Sehr geehrte Damen und Herren!
 BEWERBUNG.TXT.vbs

 VEJA!
   hehe ... veja isso.
 LOOK.vbs

 Teste variante
   Esta é uma variante do vírus vbs.
 IMPORTANT.TXT.vbs

 Sim, sim outra hora para a morte ...
   Este é o assassino para VBS.LOVE-LETTER.WORM.
 Vir-Killer.vbs

 Eu não posso acreditar nisso !!!
   Eu não posso acreditar que eu apenas recebi este email do ódio. Dê uma olhada!
 KillEmAll.TXT.vbs

 Nova variação no antivírus de atualização do LOVEBUG !!
   Existe agora uma nova variante do bug do amor. Foi lançado em
   20:37 Sábado à noite. Por favor, faça o download do patch de atualização.
   Estamos tentando isolar o vírus. Obrigado Symantec.
 antivirusupdate.vbs

 IMPORTANTE: vírus oficial e correção de bug
   Este é um vírus oficial e correção de bug. Eu peguei do nosso administrador do sistema.
   Pode demorar um pouco para atualizar seus arquivos de sistema depois de executar o
   anexo.
 Bug e virus fix.vbs

 Ataques com vírus recentes-Fix
   Em anexo, há uma cópia de um script que reverterá o efeito de
   o LOVE-LETTER-TO-YOU.TXT.vbs, bem como o FW: JOKE,
   Dia das Mães e Irmãos Lituanos.
 BAND-AID.DOC.vbs

 PresenteUOL
   O UOL tem um grande presente para voce, e eh exclusivo.
   Veja o arquivo em anexo.
   http://www.uol.com.br
 UOL.TXT.vbs

 BUG & VIRUS FIX
   Eu recebi isso do nosso administrador do sistema. Execute isto para ajudar a evitar um recente ou recente
   futuros ataques de vírus e bugs. Pode demorar um pouco para atualizar seus arquivos.
 GRANDE ERRO & VÍRUS FIX.vbs
SENHAS DE SEXO GRÁTIS
   Confira ; SENHAS LIVRES DO SEX SITE.
 PASSWORDS SEXSITE GRÁTIS.HTML.vbs

 Você pode ganhar US $ 1.000.000! 1 clique fora
   Por favor, verifique o anexo WIN vindo de mim.
 WIN.vbs

 Avisos de vírus !!!
   MUITO IMPORTANTE, POR FAVOR, LEIA ESTE TEXTO. ANEXO DE TEXTO.
 muito-importante-txt.vbs

 COMO VENCER VÍRUS
   gentilmente verifique as INFORMAÇÕES DE VÍRUS anexadas vindas de mim.
   É assim que você pode ser imune a qualquer vírus. Isso realmente ajuda muito!
 HOW_TO_BEAT_VIRUSES.TXT.vbs

Você deve ler isso!
   Você leu este texto? Você deve fazer isso !!
 C: NOTES.TXT.exe

Novo vírus descoberto!
   Um novo vírus foi descoberto! Seu nome é @ - @ Alha e Omega @ - @.
   Lista completa de habilidades de vírus está incluída no arquivo anexado @ - @ info.txt @ - @.
   Para a última informação, acesse a página da McAfee
   Por favor, envie essa mensagem para todos que você gosta.
 info.txt.vbs

 Gostaria que estivesse aqui!
   Gostaria que estivesse aqui! Estou tendo um ótimo momento!
 Queria que você estivesse aqui! .postcard.vbs


Link para o original