BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.VBS.LoveLetter

Bulunma tarihi 08/18/2000
Sınıf Email-Worm
Platform VBS
Açıklama

Teknik detaylar

Bu, 2000 yılının Mayıs ayında küresel salgına neden olan internet solucanıdır. Solucan, etkilenen bilgisayarlardan virüslü iletileri göndererek e-posta yoluyla yayılır. Yayılırken, solucan MS Outlook'u kullanır ve kendisini MS Outlook Adres Defterinde saklanan tüm adreslere gönderir. Sonuç olarak, virüslü bir bilgisayar, MS Outlook kişileri listesinde tutulan çok sayıda adrese çok sayıda ileti gönderir.

Solucan komut dosyası "Visual Basic Script" (VBS) dilinde yazılmıştır. Yalnızca Windows Komut Dosyası Sunucusu'nun (WSH) kurulduğu bilgisayarlarda çalışır. Windows 98 ve Windows 2000'de, WHS varsayılan olarak yüklenir. Kendini yaymak için, solucan MS Outlook'a erişir ve sadece Outlook 98 / 2000'de bulunan işlevlerini ve adres listelerini kullanır, böylece solucan sadece bu MS Oulook sürümlerinden birinin yüklü olması durumunda yayılabilir.

Çalıştırıldığında, solucanlar kopyalarını e-posta ile gönderir, kendini sisteme yükler, yıkıcı eylemler yapar, bir Truva atı programı indirir ve kurar. Solucan ayrıca mIRC kanallarına yayılma özelliğine de sahiptir.

Solucan "telif hakkı" dizeleri içerir:

barok -loveletter (vbe) <okula gitmekten nefret ediyorum>
tarafından: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila, Filipinler

Yayma

Solucan bir bilgisayara, solucanın kendisi olan ekli bir VBS dosyasına sahip bir e-posta mesajı olarak gelir. Orijinal solucan versiyonundaki mesajlar:

 Konu: ILOVEYOU 
Mesaj gövdesi: benden gelen ekli LOVELETTER'i kontrol edin.
Ekli dosya adı: LOVE-LETTER-FOR-YOU.TXT.vbs

Bir kullanıcı tarafından etkinleştirildiğinde, (ekli bir dosyaya çift tıklayarak) solucan MS Outlook'u açar, Adres Defterine erişir, tüm adresleri oradan alır ve ekli kopyasına sahip mesajları gönderir. İleti konusu, gövde ve ekli dosya adı yukarıdakiyle aynıdır.

Solucan da kendini sisteme yükler. Windows dizinlerindeki kopyalarını isimleriyle oluşturur:

 Windows dizininde: WIN32DLL.VBS
 
 Windows sistem dizininde: MSKERNEL32.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS

Bu dosyalar daha sonra sistem kayıt defterindeki Windows otomatik çalıştırma bölümünde kaydedilir:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL = Win32DLL.VBS

Sonuç olarak, Windows her açılışında solucan yeniden başlatılır.

Solucan ayrıca, mIRC kanallarına yayılırken kullanmak için Windows sistem dizininde bir HTM damlası oluşturur (aşağıya bakın). Bu kopya aşağıdaki ada sahip:

AŞK-MEKTUP-FOR-YOU.TXT.HTM

Truva atı dosyası indiriliyor

Trojan programını sisteme yüklemek için solucan, Internet Explorer başlangıç ​​sayfasının URL'sini değiştirir. Yeni URL bir Web sitesine işaret eder (dört değişkenden randonly olarak seçilir) ve Explorer'ı buradan bir EXE dosyası indirmeye zorlar. Bu dosya WIN-BUGSFIX.EXE adını ve Trojan programıdır. Solucan, bu dosyayı otomatik çalıştırma bölümünde sistem kayıt defterinde kaydeder:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGSFIX = WIN-BUGSFIX.exe

Bir sonraki seferde, Internet Exlorer Truva atını indirir ve sistemdeki İndirme dizinine kaydeder. Bir sonraki Windows başlangıcında, Truva kontrolünü ele geçirir ve kendisini WINFAT32.EXE adıyla Windows sistem dizinine kopyalar.

Truva atı sisteme kurulduğunda, solucan Internet Explorer başlangıç ​​sayfasını boş olarak ayarlar ("hakkında: boş").

İndirilen ve yüklenen dosya şifre çalan bir Truva atıdır. Yerel makine adı ve IP adresi, ağ giriş (ler) i ve şifre (ler), RAS bilgileri, vb. Alır ve bunları Truva hostuna gönderir. Analiz edilen örnekler "mailme@super.net.ph" adresine mesaj gönderir, mesaj konusu aşağıdaki gibi görünür:

Barok … email.passwords.sender.trojan

IRC kanallarına yayılıyor

Solucan yerel sürücüleri tarar ve dosyaları arar:

MIRC32.EXE, MLINK32.EXE, MIRC.INI, SCRIPT.INI, MIRC.HLP

Bu dosyalardan en az birinin bir alt dizininde bulunması durumunda, solucan yeni bir SCRIPT.INI dosyasını oraya bırakır. Bu dosya, virüslü IRC kanalına katılan tüm kullanıcılara bir solucan kopyası (LOVE-LETTER-FOR-YOU.TXT.HTM dosyası) gönderen mIRC komutlarını içerir.

SCRIPT.INI dosyası şu yorumları içerir:

mIRC Komut Dosyası
Lütfen bu betiği düzenlemeyin … mIRC yapacaksa mIRC bozuk olacak
bozuk … WINDOWS, doğru şekilde çalışmayacak ve çalışmayacak. Teşekkürler

Khaled Mardam-Bey
http://www.mirc.com

Bir IRC kullanıcısı bu virüs bulaşmış HTML'yi aldığında, bir IRC indirme dizinine kopyalanır. Daha sonra solucan, o dosyadan sadece kullanıcının tıklamasına izin verdiğinde aktive edilir. Tarayıcının güvenlik ayarları, komut dosyalarının disk dosyalarına erişmesine ve bir uyarı mesajı görüntülemesine izin vermediğinden, solucan bunu önlemek için bir numara kullanır. İlk olarak, kullanıcıyı kandırmak için bir mesaj görüntüler:

Bu HTML dosyasının ActiveX Denetimi'ne ihtiyacı var
Bu HTML dosyasını okumak için etkinleştir
– Lütfen ActiveX'i Etkinleştirmek için 'YES' düğmesine basın

Kullanıcının gerçekten 'EVET'i tıklaması durumunda, solucan disk dosyalarına erişir ve kendini sisteme yükler. VBS kodunu MSKERNEL32.VBS adıyla Windows sistem dizinine indirir ve sistem kayıt defterindeki Windows otomatik çalıştır bölümünde kaydeder:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS

'NO' seçildiğinde, solucan fare hareketini ve tuşa basma olaylarını keser ve sonra kendini yeniden yükler. Sonuç olarak, kullanıcı 'YES' düğmesine basana kadar sonsuz bir döngüde bir uyarı mesajı alır.

Yıkıcı eylem

Solucan, mevcut tüm yerel ve haritalanmış sürücülerdeki alt dizin ağaçlarını tarar, orada bulunan tüm dosyaları listeler ve dosya adı uzantısına bağlı olarak eylemler gerçekleştirir:

  • VBS, VBE: Solucan, VBS gövdesiyle bu dosyaların üzerine yazar. Sonuç olarak, sistemdeki tüm VBS ve VBE programlarının solucan koduyla üzerine yazılır.
  • JS, JSE, CSS, WSH, SCT, HTA: solucan, orijinal bir dosya adı artı ".VBS" uzantılı yeni bir dosya oluşturur ve orijinal dosyayı siler; Yani, solucan bu dosyaları kodun üzerine yazar ve bunları VBS uzantısı ile yeniden adlandırır. Örneğin, "TEST.JS" becowes "TEST.VBS".
  • JPG, JPEG: solucan yukarıdaki ile aynıdır, ancak tam dosya adına bir ".VBS" uzantısı ekler (".VBS" olarak yeniden adlandırılmaz). Örneğin, "PIC1.JPG", "PIC1.JPG.VBS" olur.
  • MP2, MP3: solucan ".VBS" uzantılı yeni bir dosya oluşturur ("SONG.MP2" için, solucan "SONG.MP2.VBS" dosyasını oluşturur), kodunu oraya yazar ve dosya özniteliğini ayarlar " orijinal dosya için "gizli".

Diğer çeşitleri

Solucanın kendisi bir metin betik programıdır ve metin kaynağı biçiminde yayılır. Solucanın kodu, bilgisayar korsanları tarafından kolayca değiştirilebilir ve sonuç olarak, orijinal solucanın birçok çeşidi vardır. Çoğu sadece küçük remake ve orijinal solucan için ayrıntılar ayrıntılı olarak değişir – mesaj alanları metin değişti, farklı dosya isimleri, etkilenen disk dosyaları uzantıları farklı set (örneğin, .BAT ve .INI) vardır.

Konu, mesaj gövdesi ve farklı değişkenlerdeki ekli dosya adı aşağıda listelenmiştir (ilk blok orijinal solucan versiyonuna aittir):

 Konu / beden / ek adı

 SENİ SEVİYORUM
   Lütfen bana gelen ekli LOVELETTER'i kontrol edin.
 AŞK-MEKTUP-FOR-YOU.TXT.vbs

 Anneler Günü Siparişi Onayı
   Kredi kartınızdan 326,92 $ tutarında bir ücret talep ettik.
   anneler günü için elmas özel. Detaylı bir ekledik
   bu e-postaya fatura. Lütfen eki yazdırın ve bir
   güvenli bir yer. Tekrar Teşekkürler ve Mutlu Anneler Günü Var!
   mothersday@subdimension.com
 mothersday.vbs

 fwd: Şaka
    - Mesajda mesaj gövdesi yok
 Çok Funny.vbs

 Susitikim shi vakara kavos puodukui ...
   Lütfen bana gelen ekli LOVELETTER'i kontrol edin.
 AŞK-MEKTUP-FOR-YOU.TXT.vbs

 Önemli! Dikkatlice oku !!
   Benden gelen ekli ÖNEMLİ'yi kontrol edin!
 IMPORTANT.TXT.vbs

 Tehlikeli Virüs Uyarısı
   Dolaşan tehlikeli bir virüs var.
   Görmek için lütfen ekli resmi tıklayın ve bundan kaçınmayı öğrenin.
 virus_warning.jpg.vbs

 IL0VEY0U hatasından kendinizi nasıl korursunuz?
   İşte aşk virüsünü düzeltmenin kolay yolu.
 Virüs Koruması-Instructions.vbs

 Arab Havayolları ile Uçtuğunuz İçin Teşekkür Ederiz
   Ekteki dosyayı açarak faturanın doğru olup olmadığını kontrol edin.
 ArabAir.TXT.vbs

 Bewerbung Kreolina
   Sehr geehrte Damen und Herren!
 BEWERBUNG.TXT.vbs

 BAK!
   hehe ... bunu kontrol et.
 LOOK.vbs

 Varyant Testi
   Bu vbs virüsünün bir çeşididir.
 IMPORTANT.TXT.vbs

 Evet, Evet, ÖLÜM için başka bir zaman ...
   Bu VBS.LOVE-LETTER.WORM için Killer.
 Vir-Killer.vbs

 Buna inanırım!
   Ben sadece bu nefret e-posta aldım inanıyorum inanıyorum .. Bir göz atın!
 KillEmAll.TXT.vbs

 LOVEBUG Güncelleme Anti-Virüs Yeni Varyasyon !!
   Artık yeni bir aşk hatası var. Anda serbest bırakıldı
   8:37 Cumartesi Gecesi. Lütfen sürtünme bandını indirin.
   Virüsü izole etmeye çalışıyoruz. Teşekkürler Symantec.
 antivirusupdate.vbs

 ÖNEMLİ: Resmi virüs ve hata düzeltmesi
   Bu resmi bir virüs ve hata düzeltmesidir. Sistem yöneticimizden aldım.
   Sistem dosyalarını güncelledikten sonra kısa sürebilir.
   ek dosya.
 Hata ve virüs fix.vbs

 Son Virüs Saldırıları-Düzeltme
   Eklenmiş, efektin tersine çevrilecek bir komut dosyasının kopyasıdır.
   FW: JOKE ile birlikte AŞAĞIDAKİ LETTER-TO-YOU.TXT.vbs,
   Anneler günü ve Litvanyalı kardeşler.
 BAND-AID.DOC.vbs

 PresenteUOL
   O, çok iyi bir şeydir.
   Veja o arquivo em anexo.
   http://www.uol.com.br
 UOL.TXT.vbs

 BUG & VİRÜS FİKS
   Bunu sistem yöneticimizden aldım. Yakın zamanda nabzını tutmak için bunu çalıştırın veya
   gelecek böcek ve virüs saldırısı. Dosyalarınızı güncellerken küçük bir süre alabilir.
 MAJOR BUG & VIRUS FIX.vbs
ÜCRETSİZ SEXSITE PASSWORDS
   buna bir bak ; ÜCRETSİZ SEX SİTESİ ŞİFRELERİ.
 ÜCRETSİZ SEXSITE PASSWORDS.HTML.vbs

 1.000.000 $ Kazanabilirsiniz! 1 Tıklayın Away
   Lütfen bana gelen ekli WIN'i kontrol edin.
 WIN.vbs

 Virüs Uyarılar!
   ÇOK ÖNEMLİ LÜTFEN BU METİNİ OKUYUN. METİN EKİPMANI.
 çok önemli-txt.vbs

 VİRÜSLER VAR
   benden gelen ekli VIRUS BİLGİLERİ kontrol edin.
   Bu şekilde herhangi bir virüse karşı bağışıklık kazanabilirsiniz. Gerçekten çok yardımcı olur!
 HOW_TO_BEAT_VIRUSES.TXT.vbs

Bunu okumalısın!
   Bu metni okudun mu? Yapmalısın!
 C: NOTES.TXT.exe

Yeni virüs keşfedildi!
   Yeni bir virüs keşfedildi! Adı @ - @ Alha ve Omega @ - @.
   Virüs yeteneklerinin tam listesi ekli dosyaya @ - @ info.txt @ - @ eklenmiştir.
   Son bilgi için McAfee'nin web sayfasına gidin.
   Lütfen bu meseleyi önemsediğiniz herkese iletin.
 info.txt.vbs

 Keşke burada Olsaydın!
   Keşke burada Olsaydın! Harika zaman geçiriyorum!
 Keşke burada olsaydın! .postcard.vbs


Orijinaline link