LoveLetter

CRM
 Oracle CRM
Ochrona
 Usuń wirusy
 Programy
 Trend Micro
 Uaktualnienia
 Sklep
                 

LOVELETTER, znany także jako Love Bug, Very Funny

Nowa wersja: VBS_LOVELETTR.BD, występuje także jako: VBS/LOVELETTER.BD.WORM, LOVELETTR.BD, Resume.txt.vbs, LOVELETTER.BD, VBS_RESUME, RESUME

LOVELETTER jest wirusem skryptowym i podobnie jak złej sławy Melissa wykorzystuje program pocztowy Microsoft Outlook w celu przesłania poczty z groźnym załącznikiem: “LOVE-LETTER-FOR-YOU.TXT.vbs” do wszystkich, których adresy znajdują się w książce adresowej. Tematem wiadomości może być tekst:

“ILOVEYOU”,

przykładowa treść:

“kindly check the attached LOVELETTER coming from me.”

LOVELETTER może rozprzestrzeniać się także poprzez mIRC modyfikując skrypt “script.ini.” Po podłączeniu do serwera typu chat, wirus inicjuje połączenie z wszystkimi użytkownikami danego kanału oraz przesyła plik “LOVE-LETTER-FOR-YOU.HTM”.

Wirus pochodzi najprawdopodobniej z Filipin, a autor ukrywa się pod nazwą “spyder of the @GRAMMERSoft Group”. Atakuje systemy Windows NT oraz 9x. LOVELETTER jest bardzo groźny. W poszukiwaniu ofiar przeszukuje wszelkie dostępne napędy, w tym także zamapowane, foldery i subfoldery. Zagrożone są pliki o następujących rozszerzeniach:

"vbs", "vbe", "js", "jse", "css", "wsh", "sct", "hta", "jpg", "jpeg", "mp3", or "mp2". 

Gdy którykolwiek z nich zostanie wykryty, zostaje zniszczony poprzez zapisanie nań kodu wirusa, a nazwa zostanie zmieniona poprzez modyfikację rozszerzenia: + .vbs. (Na przykład: MyStyleSheetFile.css po ataku będzie się nazywał MyStyleSheetFile.vbs.). 
Po uruchomieniu programu wirusa pojawiają się następujące pliki:

\windows\Win32DLL.vbs
\system\MSKernel32.vbs
\system\LOVE-LETTER-FOR-YOU.TXT.vbs.

Modyfikowane są także rejestry Windows, co umożliwia wykonanie programu po każdorazowym uruchomieniu systemu:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\MSKernel32",
:\windows\system \MSKernel32.vbs

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices\Win32DLL”,
:\windows\\Win32DLL.vbs.

Wirus szuka także pliku WinFAT32.exe w folderze:\windows\system. Jeśli plik istnieje, modyfikuje wówczas stronę startową Internet Explorera umieszczając jeden z poniższych adresów:

http://www.skyinet.net/~young1s/
HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/
WIN-BUGSFIX.exe

http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIy
qwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/
WIN-BUGSFIX.exe

http://www.skyinet.net/~koichi/
jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmPOhfgER67b3Vbvg/
WIN-BUGSFIX.exe http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBh
AFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw
237461234iuy7thjg/WIN-BUGSFIX.exe

Poszukiwany jest także plik WIN-BUGSFIX.exe w folderze systemowym :\windows\system. Jeśli go nie ma, to Explorer startuje z "pustą stroną" i modyfikowane są rejestry:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\WIN-BUGSFIX, \WIN-BUGSFIX.exe

Jak usunąć ?

  1. Kliknij START|RUN
    Wpisz REGEDIT, potem wciśnij ENTER
  2. W lewym panelu wskaż "+" na lewo od:
    HKEY_LOCAL_MACHINE, Software, Microsoft, Windows, CurrentVersion, Run
  3. W prawym panelu odszukaj klucz rejestru zawierający “:\Windows\System\ MSKernel32.vbs" i “\WIN-BUGSFIX.exe”. Są to rejestry które umożliwiają wprowadzenie kodu wirusa po każdorazowym uruchomieniu systemu Windows.
  4. W prawym oknie podświetl klucz który uruchamia plik i wciśnij klawisz DELETE .
  5. Odszukaj rejestry zawierające “:\Windows\System\ Win32DLL.vbs". Podświetl rejestry uruchamiają plik i wciśnij DELETE.
  6. Wyjdź z rejestrów.
  7. Uruchom START|SHUTDOWN. Wybierz "Restart in MS-DOS mode" wskaż OK.
  8. Po restarcie systemu domyślnym katalogiem winno być C:\.
  9. Wpisz “DEL WIN-BUGSFIX.exe”.
  10. Wciśnij CTRL+ALT+DEL w celu ponownego uruchomienia Windows.
  11. Zaleca się także usunięcie plików wykrytych przez oprogramowanie Trend Micro jako VBS_LOVELETTER w celu zapobieżenia ponownej infekcji systemu.

Firma Trend Micro udostępnia krótki (36 kB) program SWAT.EXE który potrafi wykryć i usunąć wirus (wraz z ewentualnymi pozostałościami) z systemu, a także przywrócić stan rejestrów systemu Windows i Internet Explorer. SWAT.EXE nie pomaga zarażonym plikom JPEG i MP3. 

Krótka instrukcja 

1. Uruchomić ściągnięty i zapisany na dysku program SWAT.EXE
2. Program otwiera się w oknie MS-DOS i skanuje zawartość dysku.
4. Odnalezione elementy wirusa VBS_LOVELETTER są usuwane.

Uwaga:
Program SWAT nie wykrywa plików zmodyfikowanych przez wirus (z rozszerzeniem ".vbs"), a które mogą przenosić kod wirusa ! Należy je usunąć "ręcznie". Zalecamy skorzystanie z serwisu HouseCall firmy Trend Micro w celu dokładnego przeskanowania zasobów zagrożonego systemu.  

VBS/LOVELETTER.BD.WORM, LOVELETTR.BD, Resume.txt.vbs, LOVELETTER.BD, VBS_RESUME, RESUME

Wirus wykorzystuje systemy poczty email, zwykle MAPI / Outlook. Po uruchomieniu umieszcza w aktualnie otwartym katalogu plik "resume.txt" , który zawiera zawodowy życiorys związany z Knowledge Engineering. Plik wirusa kopiuje się do katalogu c:\Windows\System. Następnie  pod wszystkie adresy pocztowe wysyłane są dwa rodzaje poczty:

Email 1: BCCd ct102356@excite.com, acch01@netscape.net i deroha@mailcity.com:

Temat: contract
Załącznik: resume.txt

Email 2, która w załączniku zawiera plik wirusa:

Temat: Resume
Załącznik: resume.txt.vbs

Po uruchomieniu "Resume.txt.vbs" wyświetlany jest tekst w uruchomionym programie Notatnika. Potem sprawdzany są rejestry: HKEY_CURRENT_USER\Software\ACH0\ w celu sprawdzenia, czy system był już uprzednio zarażony, oraz HKEY_CURRENT_USER\Software\UBS\UBSPIN\Options\Datapath. Następuje próba połączenia z zakodowanymi w programie wirusa adresami FTP w celu ściągnięcia programu "hcheck.exe" który wykrada hasła zaatakowanego systemu oraz notuje wszystko cokolwiek jego użytkownik napisze na klawiaturze. Kolejnym etapem działania jest utworzenie i uruchomienie "cfile.bat". Plik ten kasuje wszystkie pliki utworzone przez wirus, łącznie z nim samym usuwając w ten sposób ślady wrogiego działania !

Jak usunąć ?

  1. Przeszukać zasoby przy pomocy programu antywirusowego (zalecamy produkty  firmy Trend Micro) oraz wykasować wszystkie pliki zidentyfikowane jako VBS_LOVELETTR.BD
  2. W celu skutecznego usunięcia plików wirusa uruchomić system w trybie MSDOS.
  3. Jeśli istnieje, wykasowac plik "hcheck.exe" .
  4. Uruchomic system Windows
  5. Wskazać Start|Run i wpisać “regedit”
  6. Wyszukać klucz :
    HKEY_CURRENT_USER\Software\ACH0.
  7. Wskazać folder ACH0 w lewym panelu i wykasować.
  8. Jeśli istnieją, wykasowac klucze:
    "HKEY_CURRENT_USER\Software\UBS\UBSPIN\Options\
    Datapath.

Zalecenia dotyczące usunięcia wirusów podane przez producenta oprogramowania antywirusowego Trend Micro. Prosimy o pobranie najnowszych uaktualnień wzorców wirusów. 

Zachęcamy do odwiedzenia naszego SKLEPU , zapoznania się z założeniami PROFILAKTYKI ANTYWIRUSOWEJ

Opracowano na podstawie materiałów Trend Micro
© 1999 Trend Micro Incorporated. All Rights Reserved

 

 

 

               

Copyright  Air Trend 1999-2004