TEKSTY - I Love You (LoveLetter)
.::[ Jasió ]::.
powrót do tekstów

Pierwsze dni zabójcy
   Wirus I Love You znany także jako LoveLetter swoją niszczycielską działalność rozpoczął dwa lata temu - dokładnie w dzień Święta Niepodległości USA, 4 lipca. Powstał najprawdopodobniej na Filipinach, skąd w zaledwie kilka godzin przetransportował się do Stanów i w krótkim czasie zaraził przeszło 350 tysięcy komputerów (wg Trend Micro do tej pory ofiarą wirusa padło już 500 000 skrzynek).
   I Love You to robak internetowy napisany w języku VisualBasic Script, który poza wysyłaniem swoich kopii do wszystkich osób z książki adresowej, zamazuje zawartość kilku rodzajów plików oraz propaguje się na kanałach IRCa.
Temat: I Love You
Treść: Kindly check the attached LOVELETTER coming from
Załącznik: LOVE-LETTER-FOR-YOU.TXT.vbs

   Istotą skuteczności tego wirusa było to, że nie dostawaliśmy go od zupełnie obcych osób, a od tych, których mamy w książce adresowej. Mylić mógł zwłaszcza temat oraz treść maila, który informował o liście miłosnym znajdującym się w załączniku. Nie trzeba było długo czekać, by jakiś nieostrożny użytkownik pod wpływem emocji (rany! Ona mnie kocha!) uruchomił zgubny plik. Wirus rozsyłał się następnie do wszystkich jego znajomych, znajomych tamtych znajomych, aż w końcu zaatakował instytucje finansowe i media.

Jak to działa?
   Po uruchomieniu załącznika, LoveLetter kopiuje się do plików MSKernel32.vbs i LOVE-LETTER-FOR-YOU.TXT.vbs w katalogu Windows\system oraz pliku win32dll.vbs w katalogu Windows. Następnie dodaje odpowiednie wpisy do rejestru, inicjujące jego start przy każdym uruchomieniu systemu.
   Kolejnym krokiem wirusa jest rozesłanie swoich kopii przez Outlook i Outlook Express do wszystkich osób z książki adresowej użytkownika i utworzenie pliku LOVE-LETTER-FOR-YOU.HTM, który propaguje jego kod na kanałach IRC.
   Ostatnim etapem niszczycielskiej działalności LoveLettera jest procedura zamazywania plików. Robak zamienia oryginalną zawartość plików na własny kod. Procedura dotyczy rozszerzeń vbs, vbe, js, jse, css, wsh, sct, hta, jpg, jpeg, mp2, oraz mp3.
   W Polsce, I Love You nie zebrał tak dużego żniwa jak w innych krajach. Jest to najprawdopodobniej spowodowane faktem niewielkiej znajomości języka angielskiego w naszym narodzie, dzięki czemu większość zestresowanych użytkowników takowy mail po prostu wyrzucała do kosza ;). Niestety, przed miłosnym listem nie uchroniła się Agora S.A. (wydawca Gazety Wyborczej), Era GSM oraz wiele małych firm, co spowodowało na kilkanaście godzin ogólną dezorientację na wielu serwerach.

Mutacje

   Wielu internautów, zafascynowanych ogromną "popularnością" wirusa, postanowiła stworzyć szereg jego mutacji, "boć to ongiś są hakerzy, hje, hje". Kilka z nich okazała się jednak naprawdę groźna, a niektóre do dziś zdobywają tysiące komputerów dziennie.

Temat: RACHUNEK
Treść: Wysyłamy wam w załaczniku rachunek prosimy o szybką odpowiedz.
Załącznik: RACHUNEK.TXT.vbs

Temat: How to protect yourself from the ILOVEYOU bug!
Treść: Here's the easy way to fix the love virus.
Załącznik: Virus-Protection-Instructions.vbs

Temat: Dangerous Virus Warning
Treść: There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it.
Załącznik: virus_warning.jpg.vbs

Temat: Important! Read cerefully!!
Treść: Check the attached IMPORTANT coming from me!
Załącznik: IMPORTANT.TXT.vbs

Temat: fwd: Joke
Załącznik: Very Funny.vbs

Temat: US PRESIDENT AND FBI SECRETS =PLEASE VISIT => (http://WWW.2600.COM)<=
Treść: VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PICTURES..
Załącznik: .vbs

   W tym ostatnim przypadku temat jak i treść mogą być losowym ciągiem dużych liter, natomiast załącznik jest 4-8 znakowym ciągiem z dodanym jednym trzech rozszerzeń: GIF.vbs, JPG.vbs, BMP.vbs.
   Na dzień dzisiejszy istnieje ok. 20 zmutowanych wersji LoveLettera. Każda z nich, mimo iż inna, sprowadza się do tego, że po jej uruchomieniu dysk twardy nadaje się już praktycznie tylko do formatowania. Chyba, że zareagujesz szybko i skorzystasz z poniższego poradnika:

Jak pozbyć się robaka?

1. uruchomić Edytor Rejestru (regedit.exe)
2. z klucza Rejestru: 'HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun'
usunac wpisy: 'MSKernel32.vbs' i 'WIN-BUGSFIX.exe'
3. z klucza Rejstru: 'HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices'
usunac wpis: 'Win32DLL.vbs'
4. zmienic w kluczu: 'HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page'
wpis na: 'about:blank'
5. uruchomić ponownie komputer
6. usunąć pliki 'MSKernel32.vbs' 'Win32DLL.vbs' 'LOVE-LETTER-FOR-YOU.TXT.vbs' i 'WIN-BUGSFIX.exe' oraz wszystkie zainfekowane pliki z rozszerzeniem 'vbs', 'vbe', 'js', 'jse'

Bibliografia:
http://www.mks.com.pl/conowego.html?show=news&id=1401
http://xjufox.republika.pl/loveletter.html
http://vito2000.w.interia.pl/wirus.htm