ILOVEYOU

Обнаружен новый опасный вирус, притворяющийся признанием в любви!

В четверг компании Symantec и F-Secure сообщили о появлении нового вируса - "червя" LoveLetter, который распространяется по электронной почте под заголовком "ILOVEYOU", а также через IRC. Пользователям Microsoft Outlook приходит письмо (иногда - с адресом знакомых им людей в поле "From"), озаглавленное "ILOVEYOU" и содержащее предложение открыть приложенный файл "Love Letter". Файл является скриптом, написанным на VisualBasic; как только вирус активируется, он рассылает сам себя по почтовым адресам, содержащимся в адресной книге Microsoft Outlook. В отличие от вируса Melissa, действовавшего по той же схеме, ILOVEYOU не ограничивается первыми 50 адресами. LoveLetter копирует себя в две системные директории и добавляет запись в registry - соответственно, он запускается каждый раз при перезагрузке системы. ILOVEYOU наносит значительный ущерб данным, содержащимся на диске зараженного компьютера: файлы с расширениями .js и .css стираются, а вместо них записывается файл скрипта на VisualBasic под тем же названием, что и уничтоженный файл. То же самое происходит с файлами .vbs, .vbe, .jse, .wsh, .sct, .hta, .jpg, .jpeg, .mp3 и .mp2.

Вирус впервые проявился в Гонконге в середине дня в четверг (4 мая). К настоящему моменту он успел заразить множество компьютерных систем в Азии, США и Европе: CNN сообщает о том, что в Азии пострадали многие коммерческие компании, а в США - компьютеры Сената США. Палате представителей нежданное "признание в любви", наоборот, нанесло минимальный ущерб, хотя там были стерты "сотни тысяч" копий вируса, добавляет CNN. Также пострадали компьютерные системы Палаты общин в Великобритании, Европейского парламента, крупных европейских коммерческих компаний.

Компании Symantec и F-Secure уже опубликовали рекомендации по выявлению и уничтожению вируса. Как всегда, наиболее эффективным средством борьбы является клавиша "delete" без предварительной проверки содержания письма и приложения к нему. Жертвой нового вируса чуть было не стала и Lenta.Ru. Они получили его по почте около 8 вечера. Однако вовремя спохватились, и доблестные системщики спасли сеть от гибели.

Начало исходного кода вируса позволяет специалистам сделать некоторые выводы касательно его происхождения. В тексте программы содержится прозвище автора - "spyder", указан электронный почтовый адрес (разумеется, анонимный), название компании и город - Манила, Филиппины. В качестве послания к миру автор вируса оставил в тексте программы записку "я ненавижу ходить в школу". Lenta.ru

"Лаборатория Касперского" о новом интернет-черве LoveLetter

"Лаборатория Касперского" сообщает о появлении в "живом" виде нового опасного Интернет-червя, получившего название I-Worm.LoveLetter. Всего за несколько часов в течение 4 мая с.г. этот новый Интернет-червь посетил компьютеры тысячи пользователей во всем мире. Не избежала его посещения и "Лаборатория Касперского". Неизвестные злоумышленники разослали зараженное "признание в любви" по всему миру.

Распространение и обнаружение:

Пользователь получает письмо с темой ILOVEYOU и текстом kindly check the attached LOVELETTER coming from me. В письме присутствует вложение в виде файла LOVE-LETTER-FOR-YOU.TXT.vbs.

Деструктивное действие:

После открытия этого вложения вирус сканирует локальные и подключенные сетевые диски и пытается переписать все файлы с расширениями VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG, MP2, MP3 своим телом, при этом оригинальные файлы утрачиваются безвозвратно.

В каталоге Windows вирус I-Worm.LoveLetter создает две своих копии с именами Win32.dll.vbs и MSKernel32.vbs. После этого червь регистрирует себя в системном реестре на предмет автоматического запуска при старте системы. Во время работы червь просматривает адресную книгу и рассылает себя по всем найденным адресам.

Таким образом, всего за несколько минут Интернет-червь I-Worm.LoveLetter, не только распространяется по всем Вашим адресам, но и безвозвратно уничтожает некоторые оригинальные файлы.

Методы защиты:

Для недопущения проникновения данного Интернет-червя на Ваш компьютер настоятельно рекомендуется не открывать письмо и ни в коем случае запускать вложенный файл LOVE-LETTER-FOR-YOU.TXT.vbs.

Специалисты "Лаборатории Касперского" в течение 1 часа, создали вакцину против этого вируса, провели ее тестирование и включили в очередное ежедневное обновление антивирусной базы AVP, которая своевременно позволяет защищать пользователей от "непрошеных гостей".

Процедуры обнаружения и удаления вируса I Worm.LoveLetter можно найти на сайте "Лаборатории Касперского".

Интернет червь написан на скрипт языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH). В Windows 98, Windows 2000 он установлен по умолчанию. Выполняет деструктивные действия, рассылает свои копии по электронной почте и скачивает и устанавливает троянский файл из Интернет.

Проявления червя

После старта червь ищет все файлы на всех доступных дисках. Для файлов с разными расширениями червь выполняет следующие действия:

1. VBS, VBE:
Перезаписывает их собой.
2. JS, JSE, CSS, WSH, SCT, HTA:
Создает файл с именем оригинального объекта и раширением VBS, записывает в этот файл свое тело и удаляет оригинальный файл.
3. JPG, JPEG:
Файлы с такими расширениями червь затирает собой и переименовывает их, добавляя к имени и расширению файла-жертвы расширение .VBS (например -- PIC1.JPG.VBS).
4. MP2, MP3:
Создает новый файл с именем и расширением файла жертвы, добавив расширение VBS, записывает туда свое тело, а на оригинальные файлы устанавливает атрибут скрытый.
5. Если найден один из файлов:
MIRC32.EXE, MLINK32.EXE, SCRIPT.INI, MIRC.HLP, MIRC.INI создает на диске скрипт файл SCRIPT.INI в каталоге с IRC-клиентом.
6. Червь также создает на диске в системных каталогах файлы со своими копиями.

Имена создаваемых файлов:

MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS

Скачивание троянского файла

Червь модифицирует стартовую страницу Internet Explorer. Новая ссылка указывает на троянский файл в Интернете: WIN-BUGSFIX.EXE. Таким образом при старте Internet Explorer скачивает троянец из интернета. Затем червь проверяет существование этого файла в DOWNLOAD каталоге Internet Explorer. И если файл найден, то вирус инсталирует его для автоматического запуска в системном реестре. Добавляет ключ:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\WIN-BUGSFIX

Червь также создает на диске в системных каталогах файлы со своими копиями. Имена создаваемых файлов:

MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS

Червь прописывает в секции для автоматического запуска файлы:

MSKernel32.vbs, Win32DLL.vbs

Модифицируются ключи системного реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\ RunServices\Win32DLL

Затем червь создает из себя при помощи скрипт программы файл MSKERNEL32.VBS и прописывает его в автозагрузку в системном реестре:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\MSKernel32

Рассылка по электронной почте
При каждом запуске червь рассылает себя при помощи клиента электронной программы Outlook 97/98/2000. Для этого червь сканирует все адреса из адресной книги и рассылает себя по электронной почте.
Тема письма:
ILOVEYOU
Сообщение в теле письма:
kindly check the attached LOVELETTER coming from me.
Имя прикрепленного файла:
LOVE-LETTER-FOR-YOU.TXT.vbs