TEKSTY - I Love You
(LoveLetter)
.::[ Jasió
]::.
powrót do tekstów
Pierwsze dni zabójcy
Wirus I Love You znany także jako LoveLetter
swoją niszczycielską działalność rozpoczął dwa lata temu - dokładnie
w dzień Święta Niepodległości USA, 4 lipca. Powstał najprawdopodobniej
na Filipinach, skąd w zaledwie kilka godzin przetransportował
się do Stanów i w krótkim czasie zaraził przeszło 350 tysięcy
komputerów (wg Trend Micro do tej pory ofiarą wirusa padło
już 500 000 skrzynek).
I Love You to robak internetowy napisany
w języku VisualBasic Script, który poza wysyłaniem swoich kopii
do wszystkich osób z książki adresowej, zamazuje zawartość kilku
rodzajów plików oraz propaguje się na kanałach IRCa.
Temat: I Love You
Treść: Kindly check the attached LOVELETTER coming from
Załącznik: LOVE-LETTER-FOR-YOU.TXT.vbs
Istotą skuteczności tego wirusa było to, że
nie dostawaliśmy go od zupełnie obcych osób, a od tych, których
mamy w książce adresowej. Mylić mógł zwłaszcza temat oraz treść
maila, który informował o liście miłosnym znajdującym się w załączniku.
Nie trzeba było długo czekać, by jakiś nieostrożny użytkownik
pod wpływem emocji (rany! Ona mnie kocha!) uruchomił zgubny plik.
Wirus rozsyłał się następnie do wszystkich jego znajomych, znajomych
tamtych znajomych, aż w końcu zaatakował instytucje finansowe
i media.
Jak to działa?
Po uruchomieniu załącznika, LoveLetter
kopiuje się do plików MSKernel32.vbs i LOVE-LETTER-FOR-YOU.TXT.vbs
w katalogu Windows\system oraz pliku win32dll.vbs
w katalogu Windows. Następnie dodaje odpowiednie wpisy
do rejestru, inicjujące jego start przy każdym uruchomieniu systemu.
Kolejnym krokiem wirusa jest rozesłanie swoich
kopii przez Outlook i Outlook Express do wszystkich
osób z książki adresowej użytkownika i utworzenie pliku LOVE-LETTER-FOR-YOU.HTM,
który propaguje jego kod na kanałach IRC.
Ostatnim etapem niszczycielskiej działalności
LoveLettera jest procedura zamazywania plików. Robak zamienia
oryginalną zawartość plików na własny kod. Procedura dotyczy rozszerzeń
vbs, vbe, js, jse, css, wsh, sct, hta, jpg, jpeg, mp2, oraz
mp3.
W Polsce, I Love You nie zebrał tak dużego
żniwa jak w innych krajach. Jest to najprawdopodobniej spowodowane
faktem niewielkiej znajomości języka angielskiego w naszym narodzie,
dzięki czemu większość zestresowanych użytkowników takowy mail
po prostu wyrzucała do kosza ;). Niestety, przed miłosnym listem
nie uchroniła się Agora S.A. (wydawca Gazety Wyborczej),
Era GSM oraz wiele małych firm, co spowodowało na kilkanaście
godzin ogólną dezorientację na wielu serwerach.
Mutacje
Wielu internautów, zafascynowanych ogromną "popularnością"
wirusa, postanowiła stworzyć szereg jego mutacji, "boć to
ongiś są hakerzy, hje, hje". Kilka z nich okazała się jednak
naprawdę groźna, a niektóre do dziś zdobywają tysiące komputerów
dziennie.
Temat: RACHUNEK
Treść: Wysyłamy wam w załaczniku rachunek prosimy o szybką odpowiedz.
Załącznik: RACHUNEK.TXT.vbs
Temat: How to protect yourself from
the ILOVEYOU bug!
Treść: Here's the easy way to fix the love virus.
Załącznik: Virus-Protection-Instructions.vbs
Temat: Dangerous Virus Warning
Treść: There is a dangerous virus circulating. Please click attached
picture to view it and learn to avoid it.
Załącznik: virus_warning.jpg.vbs
Temat: Important! Read cerefully!!
Treść: Check the attached IMPORTANT coming from me!
Załącznik: IMPORTANT.TXT.vbs
Temat: fwd: Joke
Załącznik: Very Funny.vbs
Temat: US PRESIDENT AND FBI SECRETS
=PLEASE VISIT => (http://WWW.2600.COM)<=
Treść: VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PICTURES..
Załącznik: .vbs
W tym ostatnim przypadku
temat jak i treść mogą być losowym ciągiem dużych liter, natomiast
załącznik jest 4-8 znakowym ciągiem z dodanym jednym trzech rozszerzeń:
GIF.vbs, JPG.vbs, BMP.vbs.
Na dzień dzisiejszy istnieje ok. 20 zmutowanych
wersji LoveLettera. Każda z nich, mimo iż inna, sprowadza
się do tego, że po jej uruchomieniu dysk twardy nadaje się już
praktycznie tylko do formatowania. Chyba, że zareagujesz szybko
i skorzystasz z poniższego poradnika:
Jak pozbyć się robaka?
1. uruchomić Edytor Rejestru (regedit.exe)
2. z klucza Rejestru: 'HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun'
usunac wpisy: 'MSKernel32.vbs' i 'WIN-BUGSFIX.exe'
3. z klucza Rejstru: 'HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices'
usunac wpis: 'Win32DLL.vbs'
4. zmienic w kluczu: 'HKEY_CURRENT_USERSoftwareMicrosoftInternet
ExplorerMainStart Page'
wpis na: 'about:blank'
5. uruchomić ponownie komputer
6. usunąć pliki 'MSKernel32.vbs' 'Win32DLL.vbs' 'LOVE-LETTER-FOR-YOU.TXT.vbs'
i 'WIN-BUGSFIX.exe' oraz wszystkie zainfekowane pliki z rozszerzeniem
'vbs', 'vbe', 'js', 'jse'
Bibliografia:
http://www.mks.com.pl/conowego.html?show=news&id=1401
http://xjufox.republika.pl/loveletter.html
http://vito2000.w.interia.pl/wirus.htm