Email-Worm.VBS.LoveLetter

Detalhes técnicos

Este é o worm da Internet que causou a epidemia global no início de maio de 2000. O worm se espalha via e-mail enviando mensagens infectadas de computadores afetados. Ao se espalhar, o worm usa o MS Outlook e se envia para todos os endereços que estão armazenados no Catálogo de Endereços do MS Outlook. Como resultado, um computador infectado envia tantas mensagens para quantos endereços forem mantidos na lista de contatos do MS Outlook.

O worm é escrito na linguagem de script "Visual Basic Script" (VBS). Ele opera somente em computadores nos quais o WSH (Windows Scripting Host) foi instalado. No Windows 98 e no Windows 2000, o WHS é instalado por padrão. Para se espalhar, o worm acessa o MS Outlook e usa suas funções e listas de endereços, disponíveis apenas no Outlook 98/2000, para que o worm seja capaz de se espalhar somente no caso de uma dessas versões do MS Oulook estar instalada.

Quando executado, o worm envia suas cópias por e-mail, instala-se no sistema, realiza ações destrutivas, faz o download e instala um programa de Trojan. O worm também tem a capacidade de se espalhar através dos canais mIRC.

O worm contém sequências de "direitos autorais":

barok -loveletter (vbe) <eu odeio ir para a escola>
por: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila, Filipinas

Espalhando

O worm chega a um computador como uma mensagem de e-mail com um arquivo VBS anexado que é o próprio worm. A mensagem na versão original do worm possui:

 O assunto: ILOVEYOU 
 Corpo da mensagem: gentilmente verifique o LOVELETTER anexado vindo de mim. 
 Nome do arquivo anexado: LOVE-LETTER-FOR-YOU.TXT.vbs

Após a ativação por um usuário, (clicando duas vezes em um arquivo anexado) o worm abre o MS Outlook, obtém acesso ao Catálogo de Endereços, obtém todos os endereços de lá e envia mensagens com a cópia anexada para todos eles. O assunto da mensagem, o corpo e o nome do arquivo anexado são os mesmos acima.

O worm também se instala no sistema. Cria suas cópias nos diretórios do Windows com os nomes:

 no diretório Windows: WIN32DLL.VBS  no diretório de sistema do Windows: MSKERNEL32.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS

Esses arquivos são registrados na seção de execução automática do Windows no registro do sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL = Win32DLL.VBS

Como resultado, o worm é reativado toda vez que o Windows é inicializado.

O worm também cria um dropper HTM no diretório do sistema Windows para usá-lo durante a propagação para os canais mIRC (veja abaixo). Esta cópia tem o seguinte nome:

LOVE-LETTER-FOR-YOU.TXT.HTM

Baixando um arquivo de Trojan

Para instalar o programa Trojan no sistema, o worm modifica o URL para a página inicial do Internet Explorer. O novo URL aponta para um site da Web (selecionado aleatoriamente de quatro variantes) e força o Explorer a baixar um arquivo EXE de lá. Esse arquivo tem o nome WIN-BUGSFIX.EXE e é o programa de Trojan. O worm registra esse arquivo no registro do sistema em uma seção de execução automática:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGSFIX = WIN-BUGSFIX.exe

Na próxima execução, o Internet Exlorer faz o download do cavalo de Troia e o armazena no diretório de download do sistema. Na próxima inicialização do Windows, o Trojan obtém o controle e copia a si mesmo para o diretório de sistema do Windows com o nome WINFAT32.EXE.

Quando o Trojan é instalado no sistema, o worm define a página inicial do Internet Explorer em branco ("about: blank").

O arquivo baixado e instalado é um Trojan que rouba senhas. Ele obtém o nome da máquina local e o endereço IP, o (s) login (s) e a (s) senha (s) da rede, as informações do RAS etc. e os envia ao host do Trojan. As amostras que foram analisadas enviam mensagens para "mailme@super.net.ph", o assunto da mensagem é semelhante ao seguinte:

Barok … email.passwords.sender.trojan

Espalhando para os canais de IRC

O worm verifica as unidades locais e procura por arquivos:

MIRC32.EXE, MLINK32.EXE, MIRC.INI, SCRIPT.INI, MIRC.HLP

Caso pelo menos um desses arquivos seja encontrado em um subdiretório, o worm lança um novo arquivo SCRIPT.INI para lá. Esse arquivo contém instruções mIRC que enviam uma cópia do worm (o arquivo LOVE-LETTER-FOR-YOU.TXT.HTM) para todos os usuários que ingressam no canal do IRC infectado.

O arquivo SCRIPT.INI contém os comentários:

Script mIRC
Por favor, não edite este script … o mIRC irá corromper, se o mIRC
corrompido … O WINDOWS afetará e não será executado corretamente. obrigado

Khaled Mardam-Bey
http://www.mirc.com

Quando um usuário de IRC recebe esse HTML infectado, ele é copiado para um diretório de download do IRC. O worm é ativado a partir desse arquivo apenas no caso de o usuário clicar nele. Como as configurações de segurança do navegador não permitem que os scripts acessem arquivos de disco e exibam uma mensagem de aviso, o worm usa um truque para evitar isso. Primeiro, ele exibe uma mensagem para enganar o usuário:

Este arquivo HTML precisa de controle ActiveX
Para ativar para ler este arquivo HTML
– Por favor, pressione o botão 'YES' para ativar o ActiveX

Caso o usuário realmente clique em 'SIM', o worm obtém acesso aos arquivos do disco e se instala no sistema. Ele descarta seu código VBS para o diretório de sistema do Windows com o nome MSKERNEL32.VBS e o registra na seção de execução automática do Windows no registro do sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS

No caso de 'NO' ser escolhido, o worm intercepta o movimento do mouse e pressiona os eventos e se recarrega. Como resultado, um usuário recebe uma mensagem de aviso em um loop sem fim até pressionar 'YES'.

Ação destrutiva

O worm verifica as árvores de subdiretórios em todas as unidades locais e mapeadas disponíveis, lista todos os arquivos lá e, dependendo da extensão do nome do arquivo, executa ações:

• VBS, VBE: o worm sobrescreve esses arquivos com seu corpo VBS. Como resultado, todos os programas VBS e VBE no sistema são sobrescritos com o código do worm.
• JS, JSE, CSS, WSH, SCT, HTA: o worm cria um novo arquivo com um nome de arquivo original mais a extensão ".VBS" e exclui o arquivo original; Ou seja, o worm sobrescreve esses arquivos com seu código e os renomeia com a extensão VBS. Por exemplo, "TEST.JS" é "TEST.VBS".
• JPG, JPEG: o worm faz o mesmo que acima, mas adiciona uma extensão ".VBS" ao nome completo do arquivo (não renomeia para ".VBS"). Por exemplo, "PIC1.JPG" se torna "PIC1.JPG.VBS".
• MP2, MP3: o worm cria um novo arquivo com a extensão ".VBS" (para "SONG.MP2", o worm cria o arquivo "SONG.MP2.VBS"), grava seu código ali e configura o atributo do arquivo " oculto "para o arquivo original.

Outras variantes

O worm em si é um programa de script de texto, e é espalhado em forma de fonte de texto. O código do worm pode ser facilmente modificado por hackers e, como resultado, há muitas variantes do worm original. A maioria deles são apenas pequenos remakes e diferem do verme original apenas em detalhes – há textos de campos de mensagens alterados, diferentes nomes de arquivos, diferentes conjuntos de extensões de arquivos de disco afetados (por exemplo, .BAT e .INI).

O Assunto, o corpo da mensagem e o nome do arquivo anexado em diferentes variantes aparecem conforme listado abaixo (o primeiro bloco pertence à versão original do worm):

 Assunto / corpo / nome do anexo EU TE AMO   gentilmente verifique o LOVELETTER anexado vindo de mim. LOVE-LETTER-FOR-YOU.TXT.vbs Confirmação da ordem do dia das mães   Passamos a cobrar seu cartão de crédito pelo valor de US $ 326,92   para o dia especial das mães. Nós anexamos um detalhado   fatura para este email. Por favor, imprima o anexo e mantenha-o em   lugar seguro. Obrigado outra vez e tenha um dia de matrizes feliz!   mothersday@subdimension.com mothersday.vbs fwd: piada    - nenhum corpo da mensagem na mensagem Muito engraçado.vbs Susitikim shi vakara kavos puodukui ...   gentilmente verifique o LOVELETTER anexado vindo de mim. LOVE-LETTER-FOR-YOU.TXT.vbs Importante! Leia cuidadosamente !!   Verifique o IMPORTANTE anexado vindo de mim! IMPORTANT.TXT.vbs Aviso de vírus perigoso   Há um vírus perigoso circulando.   Por favor, clique na imagem anexada para visualizá-la e aprenda a evitá-la. virus_warning.jpg.vbs Como se proteger do bug IL0VEY0U!   Aqui está a maneira mais fácil de consertar o vírus do amor. Instruções de proteção contra vírus.vbs Obrigado por voar com a Arab Airlines   Por favor, verifique se a conta está correta, abrindo o arquivo anexado. ArabAir.TXT.vbs Bewerbung Kreolina   Sehr geehrte Damen und Herren! BEWERBUNG.TXT.vbs VEJA!   hehe ... veja isso. LOOK.vbs Teste variante   Esta é uma variante do vírus vbs. IMPORTANT.TXT.vbs Sim, sim outra hora para a morte ...   Este é o assassino para VBS.LOVE-LETTER.WORM. Vir-Killer.vbs Eu não posso acreditar nisso !!!   Eu não posso acreditar que eu apenas recebi este email do ódio. Dê uma olhada! KillEmAll.TXT.vbs Nova variação no antivírus de atualização do LOVEBUG !!   Existe agora uma nova variante do bug do amor. Foi lançado em   20:37 Sábado à noite. Por favor, faça o download do patch de atualização.   Estamos tentando isolar o vírus. Obrigado Symantec. antivirusupdate.vbs IMPORTANTE: vírus oficial e correção de bug   Este é um vírus oficial e correção de bug. Eu peguei do nosso administrador do sistema.   Pode demorar um pouco para atualizar seus arquivos de sistema depois de executar o   anexo. Bug e virus fix.vbs Ataques com vírus recentes-Fix   Em anexo, há uma cópia de um script que reverterá o efeito de   o LOVE-LETTER-TO-YOU.TXT.vbs, bem como o FW: JOKE,   Dia das Mães e Irmãos Lituanos. BAND-AID.DOC.vbs PresenteUOL   O UOL tem um grande presente para voce, e eh exclusivo.   Veja o arquivo em anexo.   http://www.uol.com.br UOL.TXT.vbs BUG & VIRUS FIX   Eu recebi isso do nosso administrador do sistema. Execute isto para ajudar a evitar um recente ou recente   futuros ataques de vírus e bugs. Pode demorar um pouco para atualizar seus arquivos. GRANDE ERRO & VÍRUS FIX.vbsSENHAS DE SEXO GRÁTIS   Confira ; SENHAS LIVRES DO SEX SITE. PASSWORDS SEXSITE GRÁTIS.HTML.vbs Você pode ganhar US $ 1.000.000! 1 clique fora   Por favor, verifique o anexo WIN vindo de mim. WIN.vbs Avisos de vírus !!!   MUITO IMPORTANTE, POR FAVOR, LEIA ESTE TEXTO. ANEXO DE TEXTO. muito-importante-txt.vbs COMO VENCER VÍRUS   gentilmente verifique as INFORMAÇÕES DE VÍRUS anexadas vindas de mim.   É assim que você pode ser imune a qualquer vírus. Isso realmente ajuda muito! HOW_TO_BEAT_VIRUSES.TXT.vbsVocê deve ler isso!   Você leu este texto? Você deve fazer isso !! C: NOTES.TXT.exeNovo vírus descoberto!   Um novo vírus foi descoberto! Seu nome é @ - @ Alha e Omega @ - @.   Lista completa de habilidades de vírus está incluída no arquivo anexado @ - @ info.txt @ - @.   Para a última informação, acesse a página da McAfee   Por favor, envie essa mensagem para todos que você gosta. info.txt.vbs Gostaria que estivesse aqui!   Gostaria que estivesse aqui! Estou tendo um ótimo momento! Queria que você estivesse aqui! .postcard.vbs