Email-Worm.VBS.LoveLetter

Дата обнаружения 18/08/2000
Класс Email-Worm
Платформа VBS
Описание

Technical Details

Этот интернет червь вызвал массовые поражения компьютеров и сетей в начале мая 2000. Червь распространяется в электронных письмах и при активизации
рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результате пораженный
компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH) (в Windows 98, Windows 2000 он установлен по умолчанию).При размножении червь использует функции Outlook, которые доступны только в
Outlook98/2000.

При активизации червь рассылает свои копии по электронной почте, инсталлирует себя в систему, выполняет деструктивные действия, скачивает из Интернет и устанавливает в систему троянский файл. Червь также способен
распространяться через IRC-каналы.

Тело червя содержит комментарии:

barok -loveletter(vbe) < i hate go to school >
by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines

Рапространение

Червь попадает на компьютер в виде письма с прикрепленным VBS-файлом, который, собственно, и является телом червя. Письмо имеет следующие характеристики:

Тема письма: ILOVEYOU
Сообщение в письме: «kindly check the attached LOVELETTER coming from me».
Имя прикрепленного файла: LOVE-LETTER-FOR-YOU.TXT.vbs

При активизации (если пользователь открывает прикрепленный файл) червь
получает доступ к MS Outlook, открывает адресную книгу, достает оттуда все
адреса и рассылает по ним письма с прикрепленной к ним своей копией. Тема,
содержимое письма и имя прикрепленного файла те же, что и выше.

Червь также инсталлирует себя в систему. Он создает в каталогах Windows
файлы со своими копиями. Имена создаваемых файлов:

 в каталоге Windows:            WIN32DLL.VBS
в системном каталоге Windows: MSKERNEL32.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS

Затем червь записывает ссылки на эти файлы в секции автоматического
запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL = Win32DLL.VBS

В результате червь активизируется при каждом перезапуске Windows.

Червь также создает в системном каталоге Windows свой HTML-дроппер:

LOVE-LETTER-FOR-YOU.HTM

Этот «дроппер» используется в дальнейшем при заражении IRC-каналов.

Установка троянского файла

Для того, чтобы установить на компьютере троянскую программу, червь
модифицирует URL-ссылку стартовой страницы Internet Explorer. Новая ссылка
указывает на троянский файл, расположенный на одном из четырех Web-сайтов в
Интернете. Имя троянкого файла — WIN-BUGSFIX.EXE. Таким образом при
очередном старте Internet Explorer скачивает троянца из Интернета.

Для автоматического запуска троянца червь добавляет в системный реестр ключ:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGSFIX = WIN-BUGSFIX.exe

При очередном перезапуске Windows троянец автоматически получает
управление, копирует себя в системный каталог Windows под именем
WINFAT32.EXE и затем отсылает с пораженного компьютера конфиденциальную
информацию: IP-адрес и имя компьютера, сетевой login и пароли,
RAS-информацию и т.п. Письма отсылаются на адрес «mailme@super.net.ph»,
заголовок отсылаемых писем такой:

Barok… email.passwords.sender.trojan

Червь затем (для скрытия активности троянца) обнуляет URL-ссылку
стартовой страницы Internet Explorer (записывает туда «about:blank»).

Распространение через IRC-каналы

Червь сканирует доступные диски и ищет на них файлы:

MIRC32.EXE, MLINK32.EXE, MIRC.INI, SCRIPT.INI, MIRC.HLP

Если хотя бы один из них найден, червь создает в том же каталоге
управляющий скрипт-файл mIRC — SCRIPT.INI. Этот файл содержит mIRC-команды,
которые посылают «дроппер» червя (файл LOVE-LETTER-FOR-YOU.TXT.HTM) всем
пользователям, подключающимся к зараженному каналу.

Файл SCRIPT.INI содержит комментарии:

mIRC Script
Please dont edit this script… mIRC will corrupt, if mIRC will
corrupt… WINDOWS will affect and will not run correctly. thanks

Khaled Mardam-Bey
http://www.mirc.com

Когда пользователь канала mIRC получает этот HTML-файл, он (файл)
автоматически копируется в специальный каталог mIRC, куда поступают все
скачанные из канала файлы. Червь затем активизируется только в том случае,
если пользователь сам откроет этот файл. При открытии HTML-файла
срабатывает система защиты броузера, которая предупреждает о потенциально
опасных командах в теле HTML-файла. Для того, чтобы пользователь разрешил
использование опасных команд, червь использует трюки. Сначала он пытается
обдурачить пользователя при помощи сообщения:

This HTML file need ActiveX Control
To Enable to read this HTML file
— Please press ‘YES’ button to Enable ActiveX

Если пользователь отвечает ‘YES’, червь получает полный доступ к дисковым
файлам и инсталлирует себя в систему: создает VBS-файл со своим кодом в
системном каталоге Windows. Имя этого VBS-файла — MSKERNEL32.VBS. Этот файл
затем регистрируется в системном реестре как авто-запускаемый:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS

Если пользователь отвечает ‘NO’, червь предпринимает второй трюк: он
перехватывает все действия с мышью и клавиатурой и при любом из них
перезапускает себя (то есть опять появляется предупреждение об опасной
команде). В результете пользователь получает эти предупреждения до тех пор,
пока не не нажмет ‘YES’ или не снимет задачу при помощи Alt-Ctrl-Del.

Уничтожение файлов

Червь ищет все файлы на всех доступных дисках. Для файлов с разными
расширениями червь выполняет различные действия:

  • VBS, VBE: записывает вместо них свою копию.
  • JS, JSE, CSS, WSH, SCT, HTA: переименовывает их с расширением .VBS и
    записывает в них свою копию.
  • JPG, JPEG: добавляет к именам файлов расширение .VBS и записывает в них
    свою копию (например, PIC1.JPG.VBS). Оригинальный файл червь удаляет.
  • MP2, MP3: создает новый файл с именем MP-файла и расширением .VBS и
    записывает в него свою копию. У первоначальных MP-файлов устанавливает
    атрибут «скрытый».

Варианты червя

Поскольку червь является скрипт-программой и распространяется в исходном
виде (в виде текстовой скрипт-программы), его тело может быть легко
модифицировано. В результате за одну неделю после появления первой версии
червя появилось почти три десятка его модификаций. Большинство из них
отличались лишь мелкими исправлениями: измененными оказались заголовок и
тело письма, имена VBS-файлов, и т.п.

Ниже приведен неполный список характеристик писем в различных модификациях
червя (первый блок принадлежит первой версии червя):

 Тема письма / сообщение / имя прикрепленного файла
 --------------------------------------------------

 ILOVEYOU
   kindly check the attached LOVELETTER coming from me.
 LOVE-LETTER-FOR-YOU.TXT.vbs

 Mothers Day Order Confirmation
   We have proceeded to charge your credit card for the amount of $326.92
   for the mothers day  diamond special. We have attached a detailed
   invoice to this email. Please print out the attachment and keep it in a
   safe place.Thanks Again and Have a Happy Mothers Day!
   mothersday@subdimension.com
 mothersday.vbs

 fwd: Joke
     - no message body in message
 Very Funny.vbs

 Susitikim shi vakara kavos puodukui...
   kindly check the attached LOVELETTER coming from me.
 LOVE-LETTER-FOR-YOU.TXT.vbs

 Important ! Read carefully !!
   Check the attached IMPORTANT coming from me !
 IMPORTANT.TXT.vbs

 Dangerous Virus Warning
   There is a dangerous virus circulating.
   Please click attached picture to view it and learn to avoid it.
 virus_warning.jpg.vbs

 How to protect yourself from the IL0VEY0U bug!
   Here's the easy way to fix the love virus.
 Virus-Protection-Instructions.vbs

 Thank You For Flying With Arab Airlines
   Please check if the bill is correct, by opening the attached file.
 ArabAir.TXT.vbs

 Bewerbung Kreolina
   Sehr geehrte Damen und Herren!
 BEWERBUNG.TXT.vbs

 LOOK!
   hehe...check this out.
 LOOK.vbs

 Variant Test
   This is a variant to the vbs virus.
 IMPORTANT.TXT.vbs

 Yeah, Yeah another time to DEATH...
   This is the Killer for VBS.LOVE-LETTER.WORM.
 Vir-Killer.vbs

 I Cant Believe This!!!
   I Cant Believe I Have Just Recieved This Hate Email .. Take A Look!
 KillEmAll.TXT.vbs

 New Variation on LOVEBUG Update Anti-Virus!!
   There is now a newer variant of love bug. It was released at
   8:37 PM Saturday Night. Please Download the fo llowing patch.
   We are trying to isolate the virus. Thanks Symantec.
 antivirusupdate.vbs

 IMPORTANT: Official virus and bug fix
   This is an official virus and bug fix. I got it from our system admin.
   It may take a short while to update your system files after you run the
   attachment.
 Bug and virus fix.vbs

 Recent Virus Attacks-Fix
   Attached is a copy of a script that will reverse the effect of
   the LOVE-LETTER-TO-YOU.TXT.vbs as well as the FW:JOKE,
   Mother's Day and Lituanian Siblings.
 BAND-AID.DOC.vbs

 PresenteUOL
   O UOL tem um grande presente para voce, e eh exclusivo.
   Veja o arquivo em anexo.
   http://www.uol.com.br
 UOL.TXT.vbs

 BUG & VIRUS FIX
   I got this from our system admin. Run this to help pervent a ny recent or
   future bug & virus attack's. It may take a small while up update your files.
 MAJOR BUG & VIRUS FIX.vbs
FREE SEXSITE PASSWORDS
   cHECK IT OUT ; FREE SEX SITE PASSWORDS.
 FREE SEXSITE PASSWORDS.HTML.vbs

 You May Win $1,000,000! 1 Click Away
   kindly check the attached WIN coming from me.
 WIN.vbs

 Virus Warnings !!!
   VERY IMPORTANT PLEASE READ THIS TEXT.         TEXT ATTACHMENT.
 very-important-txt.vbs

 HOW TO BEAT VIRUSES
   kindly check the attached VIRUS INFORMATION coming from me.
   This is how you can be immune to any virus. It really helps alot!
 HOW_TO_BEAT_VIRUSES.TXT.vbs

You must read this!
   Have you read this text? You must do it!!
 C:NOTES.TXT.exe

New virus discovered!
   A new virus has been discovered! It's name is @-@Alha and Omega@-@.
   Full list of virus abilities is included in attached file @-@info.txt@-@.
   For the last information go to McAfee's web page
   Please forward this mesage to everyone you care about.
 info.txt.vbs

Wish you were Here!
   Wish you were Here! Im having a great time!
 Wish you were Here!.postcard.vbs