VBS_COLOMBIA,
znany także jako: COLOMBIA, VBS/Loveletter.AS, VBS.LoveLetter.Variant zaraża
szybko i kasuje pliki
Po uruchomieniu otrzymanego wraz z pocztą
email programu wirus umieszcza swój kod w folderach: Windows
("RELOAD.VBS), Windows/System ("LINUX32.VBS" oraz plik o losowo
wygenerowanej nazwie z rozszerzeniem GIF.vbs, BMP.vbs i JPG.vbs). Dzięki
modyfikacji rejestru:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
z kluczem "LINUX32"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices
z kluczem "reload"
skrypt uruchamiany jest każdorazowo po
uruchomieniu systemu Windows. Modyfikowana jest także strona startowa IE jeśli
istnieje plik "Win32FAT.EXE".
Wirus rozpowszechnia się za pośrednictwem
MS Outlook wysyłając wiadomości pod wszystkie dostępne adresy. Przykładowy
format wiadomości:
Temat: It is either "US PRESIDENT AND
FBI SECRETS =PLEASE VISIT=>(http://www.2600.com)<="
Wiadomość: It is either "VERY JOKE..! SEE PRESIDENT OR FBI TOP SECRET
PICTURES.."
Załącznik: plik z losowo wygenerowaną nazwą.
Następnie wirus przeszukuje wszelkie dostępne
z komputera napędy (w tym także sieciowe) lokalizując pliki z
rozszerzeniami : VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG, MP3, MP2
i zapisując je swoim kodem. Sprawdza też datę systemu. Jeśli jest 17
września, wyświetla komunikat:
"Dedicated to my best
brother=>Christian Julian (C.J.G.S.) Att. <przypadkowy ciąg znaków>
(M.H.M. TEAM).
Jak usunąć?
Skanować zasoby komputera przy pomocy
programów antywirusowych i wykasować wszelkie pliki
zidentyfikowane jako VBS_COLOMBIA. Usunąć klucz
"LINUX32" z folderu rejestrów:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
oraz klucz "reload" z:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Opracowano na podstawie materiałów Trend
Micro
© 2000 Trend Micro Incorporated. All Rights Reserved
