Technical Details
Этот интернет червь вызвал массовые поражения компьютеров и сетей в начале мая 2000. Червь распространяется в электронных письмах и при активизации
рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результате пораженный
компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.
Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH) (в Windows 98, Windows 2000 он установлен по умолчанию).При размножении червь использует функции Outlook, которые доступны только в
Outlook98/2000.
При активизации червь рассылает свои копии по электронной почте, инсталлирует себя в систему, выполняет деструктивные действия, скачивает из Интернет и устанавливает в систему троянский файл. Червь также способен
распространяться через IRC-каналы.
Тело червя содержит комментарии:
barok -loveletter(vbe) < i hate go to school >
by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines
Рапространение
Червь попадает на компьютер в виде письма с прикрепленным VBS-файлом, который, собственно, и является телом червя. Письмо имеет следующие характеристики:
Тема письма: ILOVEYOU
Сообщение в письме: «kindly check the attached LOVELETTER coming from me».
Имя прикрепленного файла: LOVE-LETTER-FOR-YOU.TXT.vbs
При активизации (если пользователь открывает прикрепленный файл) червь
получает доступ к MS Outlook, открывает адресную книгу, достает оттуда все
адреса и рассылает по ним письма с прикрепленной к ним своей копией. Тема,
содержимое письма и имя прикрепленного файла те же, что и выше.
Червь также инсталлирует себя в систему. Он создает в каталогах Windows
файлы со своими копиями. Имена создаваемых файлов:
в каталоге Windows: WIN32DLL.VBS
в системном каталоге Windows: MSKERNEL32.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS
Затем червь записывает ссылки на эти файлы в секции автоматического
запуска системного реестра:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL = Win32DLL.VBS
В результате червь активизируется при каждом перезапуске Windows.
Червь также создает в системном каталоге Windows свой HTML-дроппер:
LOVE-LETTER-FOR-YOU.HTM
Этот «дроппер» используется в дальнейшем при заражении IRC-каналов.
Установка троянского файла
Для того, чтобы установить на компьютере троянскую программу, червь
модифицирует URL-ссылку стартовой страницы Internet Explorer. Новая ссылка
указывает на троянский файл, расположенный на одном из четырех Web-сайтов в
Интернете. Имя троянкого файла — WIN-BUGSFIX.EXE. Таким образом при
очередном старте Internet Explorer скачивает троянца из Интернета.
Для автоматического запуска троянца червь добавляет в системный реестр ключ:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGSFIX = WIN-BUGSFIX.exe
При очередном перезапуске Windows троянец автоматически получает
управление, копирует себя в системный каталог Windows под именем
WINFAT32.EXE и затем отсылает с пораженного компьютера конфиденциальную
информацию: IP-адрес и имя компьютера, сетевой login и пароли,
RAS-информацию и т.п. Письма отсылаются на адрес «mailme@super.net.ph»,
заголовок отсылаемых писем такой:
Barok… email.passwords.sender.trojan
Червь затем (для скрытия активности троянца) обнуляет URL-ссылку
стартовой страницы Internet Explorer (записывает туда «about:blank»).
Распространение через IRC-каналы
Червь сканирует доступные диски и ищет на них файлы:
MIRC32.EXE, MLINK32.EXE, MIRC.INI, SCRIPT.INI, MIRC.HLP
Если хотя бы один из них найден, червь создает в том же каталоге
управляющий скрипт-файл mIRC — SCRIPT.INI. Этот файл содержит mIRC-команды,
которые посылают «дроппер» червя (файл LOVE-LETTER-FOR-YOU.TXT.HTM) всем
пользователям, подключающимся к зараженному каналу.
Файл SCRIPT.INI содержит комментарии:
mIRC Script
Please dont edit this script… mIRC will corrupt, if mIRC will
corrupt… WINDOWS will affect and will not run correctly. thanks
Khaled Mardam-Bey
http://www.mirc.com
Когда пользователь канала mIRC получает этот HTML-файл, он (файл)
автоматически копируется в специальный каталог mIRC, куда поступают все
скачанные из канала файлы. Червь затем активизируется только в том случае,
если пользователь сам откроет этот файл. При открытии HTML-файла
срабатывает система защиты броузера, которая предупреждает о потенциально
опасных командах в теле HTML-файла. Для того, чтобы пользователь разрешил
использование опасных команд, червь использует трюки. Сначала он пытается
обдурачить пользователя при помощи сообщения:
This HTML file need ActiveX Control
To Enable to read this HTML file
— Please press ‘YES’ button to Enable ActiveX
Если пользователь отвечает ‘YES’, червь получает полный доступ к дисковым
файлам и инсталлирует себя в систему: создает VBS-файл со своим кодом в
системном каталоге Windows. Имя этого VBS-файла — MSKERNEL32.VBS. Этот файл
затем регистрируется в системном реестре как авто-запускаемый:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS
Если пользователь отвечает ‘NO’, червь предпринимает второй трюк: он
перехватывает все действия с мышью и клавиатурой и при любом из них
перезапускает себя (то есть опять появляется предупреждение об опасной
команде). В результете пользователь получает эти предупреждения до тех пор,
пока не не нажмет ‘YES’ или не снимет задачу при помощи Alt-Ctrl-Del.
Уничтожение файлов
Червь ищет все файлы на всех доступных дисках. Для файлов с разными
расширениями червь выполняет различные действия:
- VBS, VBE: записывает вместо них свою копию.
- JS, JSE, CSS, WSH, SCT, HTA: переименовывает их с расширением .VBS и
записывает в них свою копию.
- JPG, JPEG: добавляет к именам файлов расширение .VBS и записывает в них
свою копию (например, PIC1.JPG.VBS). Оригинальный файл червь удаляет.
- MP2, MP3: создает новый файл с именем MP-файла и расширением .VBS и
записывает в него свою копию. У первоначальных MP-файлов устанавливает
атрибут «скрытый».
Варианты червя
Поскольку червь является скрипт-программой и распространяется в исходном
виде (в виде текстовой скрипт-программы), его тело может быть легко
модифицировано. В результате за одну неделю после появления первой версии
червя появилось почти три десятка его модификаций. Большинство из них
отличались лишь мелкими исправлениями: измененными оказались заголовок и
тело письма, имена VBS-файлов, и т.п.
Ниже приведен неполный список характеристик писем в различных модификациях
червя (первый блок принадлежит первой версии червя):
Тема письма / сообщение / имя прикрепленного файла
--------------------------------------------------
ILOVEYOU
kindly check the attached LOVELETTER coming from me.
LOVE-LETTER-FOR-YOU.TXT.vbs
Mothers Day Order Confirmation
We have proceeded to charge your credit card for the amount of $326.92
for the mothers day diamond special. We have attached a detailed
invoice to this email. Please print out the attachment and keep it in a
safe place.Thanks Again and Have a Happy Mothers Day!
mothersday@subdimension.com
mothersday.vbs
fwd: Joke
- no message body in message
Very Funny.vbs
Susitikim shi vakara kavos puodukui...
kindly check the attached LOVELETTER coming from me.
LOVE-LETTER-FOR-YOU.TXT.vbs
Important ! Read carefully !!
Check the attached IMPORTANT coming from me !
IMPORTANT.TXT.vbs
Dangerous Virus Warning
There is a dangerous virus circulating.
Please click attached picture to view it and learn to avoid it.
virus_warning.jpg.vbs
How to protect yourself from the IL0VEY0U bug!
Here's the easy way to fix the love virus.
Virus-Protection-Instructions.vbs
Thank You For Flying With Arab Airlines
Please check if the bill is correct, by opening the attached file.
ArabAir.TXT.vbs
Bewerbung Kreolina
Sehr geehrte Damen und Herren!
BEWERBUNG.TXT.vbs
LOOK!
hehe...check this out.
LOOK.vbs
Variant Test
This is a variant to the vbs virus.
IMPORTANT.TXT.vbs
Yeah, Yeah another time to DEATH...
This is the Killer for VBS.LOVE-LETTER.WORM.
Vir-Killer.vbs
I Cant Believe This!!!
I Cant Believe I Have Just Recieved This Hate Email .. Take A Look!
KillEmAll.TXT.vbs
New Variation on LOVEBUG Update Anti-Virus!!
There is now a newer variant of love bug. It was released at
8:37 PM Saturday Night. Please Download the fo llowing patch.
We are trying to isolate the virus. Thanks Symantec.
antivirusupdate.vbs
IMPORTANT: Official virus and bug fix
This is an official virus and bug fix. I got it from our system admin.
It may take a short while to update your system files after you run the
attachment.
Bug and virus fix.vbs
Recent Virus Attacks-Fix
Attached is a copy of a script that will reverse the effect of
the LOVE-LETTER-TO-YOU.TXT.vbs as well as the FW:JOKE,
Mother's Day and Lituanian Siblings.
BAND-AID.DOC.vbs
PresenteUOL
O UOL tem um grande presente para voce, e eh exclusivo.
Veja o arquivo em anexo.
http://www.uol.com.br
UOL.TXT.vbs
BUG & VIRUS FIX
I got this from our system admin. Run this to help pervent a ny recent or
future bug & virus attack's. It may take a small while up update your files.
MAJOR BUG & VIRUS FIX.vbs
FREE SEXSITE PASSWORDS
cHECK IT OUT ; FREE SEX SITE PASSWORDS.
FREE SEXSITE PASSWORDS.HTML.vbs
You May Win $1,000,000! 1 Click Away
kindly check the attached WIN coming from me.
WIN.vbs
Virus Warnings !!!
VERY IMPORTANT PLEASE READ THIS TEXT. TEXT ATTACHMENT.
very-important-txt.vbs
HOW TO BEAT VIRUSES
kindly check the attached VIRUS INFORMATION coming from me.
This is how you can be immune to any virus. It really helps alot!
HOW_TO_BEAT_VIRUSES.TXT.vbs
You must read this!
Have you read this text? You must do it!!
C:NOTES.TXT.exe
New virus discovered!
A new virus has been discovered! It's name is @-@Alha and Omega@-@.
Full list of virus abilities is included in attached file @-@info.txt@-@.
For the last information go to McAfee's web page
Please forward this mesage to everyone you care about.
info.txt.vbs
Wish you were Here!
Wish you were Here! Im having a great time!
Wish you were Here!.postcard.vbs
|