Email-Worm.VBS.LoveLetter

Détails techniques

C'est le ver Internet qui a causé l'épidémie mondiale au début de mai 2000. Le ver se propage par courrier électronique en envoyant des messages infectés provenant d'ordinateurs affectés. Lors de la propagation, le ver utilise MS Outlook et s'envoie à toutes les adresses qui sont stockées dans le carnet d'adresses MS Outlook. Par conséquent, un ordinateur infecté envoie autant de messages à autant d'adresses conservées dans la liste de contacts MS Outlook.

Le ver est écrit dans le langage de script "Visual Basic Script" (VBS). Il fonctionne uniquement sur les ordinateurs sur lesquels Windows Scripting Host (WSH) a été installé. Dans Windows 98 et Windows 2000, WHS est installé par défaut. Pour se propager, le ver accède à MS Outlook et utilise ses fonctions et listes d'adresses, disponibles uniquement dans Outlook 98/2000, de sorte que le ver ne peut se propager que si l'une de ces versions MS Oulook est installée.

Lorsqu'il est exécuté, le ver envoie ses copies par e-mail, s'installe dans le système, effectue des actions destructrices, télécharge et installe un cheval de Troie. Le ver a également la capacité de se propager à travers les canaux mIRC.

Le ver contient des chaînes "copyright":

barok -loveletter (vbe) <je déteste aller à l'école>
par: spyder / ispyder@mail.com / Groupe @GRAMMERSoft / Manille, Philippines

Diffusion

Le ver arrive à un ordinateur sous la forme d'un message électronique avec un fichier VBS joint qui est le ver lui-même. Le message dans la version de ver d'origine a:

 Le sujet: ILOVEYOU 

 Corps du message: veuillez vérifier le LOVELETTER ci-joint venant de moi. 

 Nom de fichier attaché: LOVE-LETTER-FOR-YOU.TXT.vbs

Lors de l'activation par un utilisateur, (en double-cliquant sur un fichier joint) le ver ouvre MS Outlook, accède au carnet d'adresses, récupère toutes les adresses à partir de là et envoie des messages avec sa copie attachée à chacun d'entre eux. L'objet du message, le corps et le nom de fichier joint sont les mêmes que ci-dessus.

Le ver s'installe également dans le système. Il crée ses copies dans les répertoires Windows avec les noms:

 dans le répertoire Windows: WIN32DLL.VBS
 
 dans le répertoire système Windows: MSKERNEL32.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS

Ces fichiers sont ensuite enregistrés dans la section d'exécution automatique Windows du registre système:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL = Win32DLL.VBS

Par conséquent, le ver est réactivé chaque fois que Windows démarre.

Le ver crée également un compte-gouttes HTM dans le répertoire système Windows pour l'utiliser lors de la diffusion vers les canaux mIRC (voir ci-dessous). Cette copie porte le nom suivant:

LOVE-LETTER-FOR-YOU.TXT.HTM

Téléchargement d'un fichier cheval de Troie

Pour installer le programme de Troie sur le système, le ver modifie l'URL de la page de démarrage d'Internet Explorer. La nouvelle URL pointe vers un site Web (sélectionné de façon aléatoire à partir de quatre variantes) et force Explorer à télécharger un fichier EXE à partir de là. Ce fichier a le nom WIN-BUGSFIX.EXE et est le programme de Troie. Le ver enregistre ensuite ce fichier dans le registre du système dans une section d'exécution automatique:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGSFIX = WIN-BUGSFIX.exe

Lors de la prochaine exécution, Internet Exlorer télécharge le cheval de Troie et le stocke dans le répertoire de téléchargement du système. Au prochain démarrage de Windows, le cheval de Troie obtient le contrôle et se copie dans le répertoire système de Windows avec le nom WINFAT32.EXE.

Lorsque le cheval de Troie a été installé dans le système, le ver définit la page de démarrage d'Internet Explorer comme vierge ("about: blank").

Le fichier téléchargé et installé est un cheval de Troie voleur de mot de passe. Il obtient le nom de la machine locale et l'adresse IP, le (s) identifiant (s) réseau (s) et mot (s) de passe, les informations RAS, etc., et les envoie à l'hôte cheval de Troie. Les échantillons qui ont été analysés envoient des messages à "mailme@super.net.ph", l'objet du message ressemble à ce qui suit:

Barok … email.passwords.sender.trojan

Diffusion vers les canaux IRC

Le ver analyse les disques locaux et recherche les fichiers:

MIRC32.EXE, MLINK32.EXE, MIRC.INI, SCRIPT.INI, MIRC.HLP

Dans le cas où au moins l'un de ces fichiers est trouvé dans un sous-répertoire, le ver dépose un nouveau fichier SCRIPT.INI à cet emplacement. Ce fichier contient des instructions mIRC qui envoient une copie de ver (le fichier LOVE-LETTER-FOR-YOU.TXT.HTM) à tous les utilisateurs qui se joignent au canal IRC infecté.

Le fichier SCRIPT.INI contient les commentaires:

Script mIRC
S'il vous plaît ne pas modifier ce script … mIRC va corrompre, si mIRC sera
corrompu … WINDOWS affectera et ne fonctionnera pas correctement. Merci

Khaled Mardam-Bey
http://www.mirc.com

Lorsqu'un utilisateur IRC reçoit ce code HTML infecté, il est copié dans un répertoire de téléchargement IRC. Le ver est alors activé à partir de ce fichier uniquement au cas où l'utilisateur clique dessus. Étant donné que les paramètres de sécurité du navigateur n'autorisent pas les scripts à accéder aux fichiers du disque et à afficher un message d'avertissement, le ver utilise une astuce pour éviter cela. D'abord, il affiche un message pour tromper l'utilisateur:

Ce fichier HTML nécessite un contrôle ActiveX
Activer pour lire ce fichier HTML
– S'il vous plaît appuyez sur le bouton 'OUI' pour Activer ActiveX

Dans le cas où l'utilisateur clique vraiment sur 'OUI', le ver accède aux fichiers du disque et s'installe dans le système. Il supprime son code VBS dans le répertoire système Windows avec le nom MSKERNEL32.VBS et l'enregistre dans la section d'exécution automatique Windows du registre système:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS

Dans le cas où 'NON' est choisi, le ver intercepte le mouvement de la souris et la touche et se recharge ensuite. En conséquence, un utilisateur reçoit un message d'avertissement dans une boucle sans fin jusqu'à ce qu'il appuie sur «OUI».

Action destructive

Le ver analyse les arborescences de sous-répertoires sur tous les lecteurs locaux et mappés disponibles, répertorie tous les fichiers et, en fonction de l'extension du nom de fichier, effectue les actions suivantes:

• VBS, VBE: le ver écrase ces fichiers avec son corps VBS. Par conséquent, tous les programmes VBS et VBE du système sont remplacés par du code de ver.
• JS, JSE, CSS, WSH, SCT, HTA: le ver crée un nouveau fichier avec un nom de fichier original plus l'extension ".VBS" et supprime le fichier original; Par exemple, le ver écrase ces fichiers avec son code et les renomme avec l'extension VBS. Par exemple, "TEST.JS" devient "TEST.VBS".
• JPG, JPEG: le ver fait la même chose que ci-dessus, mais ajoute une extension ".VBS" au nom de fichier complet (ne le renomme pas en ".VBS"). Par exemple, "PIC1.JPG" devient "PIC1.JPG.VBS".
• MP2, MP3: le ver crée un nouveau fichier avec une extension ".VBS" (pour "SONG.MP2", le ver crée le fichier "SONG.MP2.VBS"), y écrit son code et définit l'attribut du fichier " caché "pour le fichier original.

D'autres variantes

Le ver lui-même est un programme de script de texte, et il est diffusé sous forme de source de texte. Le code du ver peut être facilement modifié par les pirates, et par conséquent, il existe de nombreuses variantes du ver d'origine. La plupart d'entre eux ne sont que des remakes mineurs et diffèrent du ver original juste en détails – il y a du texte de champs de message changé, des noms de fichiers différents, un ensemble différent d'extensions de fichiers affectés (par exemple .BAT et .INI).

Le sujet, le corps du message et le nom de fichier joint dans différentes variantes apparaissent comme indiqué ci-dessous (le premier bloc appartient à la version originale du ver):

 Sujet / corps / nom de pièce jointe

 JE T'AIME
   veuillez vérifier le LOVELETTER ci-joint venant de moi.
 LOVE-LETTER-FOR-YOU.TXT.vbs

 Confirmation de commande pour la fête des mères
   Nous avons procédé au débit de votre carte de crédit au montant de 326,92 $
   pour la fête des mères du diamant spécial. Nous avons joint un détail
   facture à cet email. S'il vous plaît imprimer la pièce jointe et le garder dans un
   endroit sûr. Merci encore et bonne fête des mères!
   mothersday@subdimension.com
 mothersday.vbs

 fwd: blague
    - Aucun corps de message dans le message
 Très drôle.vbs

 Susitikim shi vakara kavos puodukui ...
   veuillez vérifier le LOVELETTER ci-joint venant de moi.
 LOVE-LETTER-FOR-YOU.TXT.vbs

 Important! Lire attentivement !!
   Vérifiez la pièce jointe IMPORTANT venant de moi!
 IMPORTANT.TXT.vbs

 Avertissement de virus dangereux
   Il y a un virus dangereux qui circule.
   S'il vous plaît cliquez sur la photo ci-jointe pour l'afficher et apprendre à l'éviter.
 virus_warning.jpg.vbs

 Comment se protéger du bug IL0VEY0U!
   Voici le moyen facile de réparer le virus de l'amour.
 Virus-Protection-Instructions.vbs

 Merci de voler avec Arab Airlines
   S'il vous plaît vérifier si la facture est correcte, en ouvrant le fichier ci-joint.
 ArabAir.TXT.vbs

 Bewerbung Kreolina
   Sehr geehrte Damen und Herren!
 BEWERBUNG.TXT.vbs

 REGARDEZ!
   hehe ... regarde ça.
 LOOK.vbs

 Test de variante
   Ceci est une variante du virus vbs.
 IMPORTANT.TXT.vbs

 Ouais, ouais une autre fois à MORT ...
   C'est le tueur pour VBS.LOVE-LETTER.WORM.
 Vir-Killer.vbs

 Je ne peux pas croire ça !!!
   Je ne peux pas croire que j'ai reçu ce courriel de haine. Jetez un coup d'oeil!
 KillEmAll.TXT.vbs

 Nouvelle variante sur LOVEBUG Update Anti-Virus !!
   Il y a maintenant une nouvelle variante de bug d'amour. Il a été libéré à
   20h37 Samedi soir. Veuillez télécharger le patch suivant.
   Nous essayons d'isoler le virus. Merci Symantec.
 antivirusupdate.vbs

 IMPORTANT: Correctif officiel de virus et de bogue
   Ceci est un correctif officiel de virus et de bogue. Je l'ai eu de notre administrateur système.
   Cela peut prendre un peu de temps pour mettre à jour vos fichiers système après avoir exécuté le
   attachement.
 Bug et virus fix.vbs

 Attaques de virus récentes
   Ci-joint une copie d'un script qui va inverser l'effet de
   le LOVE-LETTER-TO-YOU.TXT.vbs ainsi que le FW: JOKE,
   Fête des Mères et Frères et Sœurs Lituaniens.
 BAND-AID.DOC.vbs

 PresenteUOL
   O UOL tem um grande presente para voce, e e exclusivo.
   Veja o arquivo em anexo.
   http://www.uol.com.br
 UOL.TXT.vbs

 BUG & VIRUS FIX
   Je l'ai eu de notre administrateur système. Exécutez ceci pour aider pervent un ny récent ou
   futur bug et attaque de virus. Cela peut prendre un peu de temps pour mettre à jour vos fichiers.
 BOGUE MAJEURE ET VIRUS FIX.vbs
MOTS DE PASSE SEXSITE GRATUIT
   Vérifiez-le ; MOTS DE PASSE DU SITE SEXUEL GRATUIT.
 SEXSITE GRATUIT PASSWORDS.HTML.vbs

 Vous pouvez gagner 1 000 000 $! 1 Cliquez sur Away
   veuillez vérifier le WIN attaché venant de moi.
 WIN.vbs

 Avertissements de virus !!!
   TRÈS IMPORTANT VEUILLEZ LIRE CE TEXTE. ATTACHEMENT DE TEXTE.
 très important-txt.vbs

 COMMENT BATTRE LES VIRUS
   veuillez vérifier les informations de VIRUS attachées venant de moi.
   C'est ainsi que vous pouvez être immunisé contre tout virus. Ça aide vraiment beaucoup!
 HOW_TO_BEAT_VIRUSES.TXT.vbs

Vous devez lire ceci!
   Avez-vous lu ce texte? Tu dois le faire!!
 C: NOTES.TXT.exe

Nouveau virus découvert!
   Un nouveau virus a été découvert! Son nom est @ - @ Alha et Omega @ - @.
   La liste complète des capacités virales est incluse dans le fichier joint @ - @ info.txt @ - @.
   Pour les dernières informations, allez sur la page web de McAfee
   Veuillez transmettre ce message à tous ceux qui vous intéressent.
 info.txt.vbs

 J'aimerais que tu sois ici!
   J'aimerais que tu sois ici! Je passe un bon moment!
 Je vous souhaite d'être ici! .postcard.vbs