Согласно данным компании F-Secure, вирус, который распространяется через электронные почтовые сообщения, содержащие в поле "Тема" письма запись "I Love You" или "Love Letter", впервые появился 4 мая в Азии. Вероятным источником его происхождения являются Филиппины.
По мнению экспертов, вирус I Love You может принести много больше неприятностей, чем печально известная Melissa.
По мнению Мико Хиппонена (Mikko Hypponen), руководителя исследовательской группы F-Secure, за пять последних лет еще не было вируса, столь быстро и глобально распространявшегося бы по миру: "За четыре часа со времени первого тревожного сообщения из Норвегии, поступившего в 9 утра по Гринвичу, в F-Secure уже есть данные о вирусе из более 20 стран".
Вирус распространяется как присоединенный файл (аттачмент) к электронным почтовым сообщениям под именем "Love-Letter-For-You" и поражает пользователей популярной почтовой программы Microsoft Outlook. I Love You "отправляет себя" всем респондентам из адресной книги жертвы.
Согласно Хиппонену, наибольшей опасности подвержены издательства и средства массовой информации, включая радиостанции, журналы, рекламные агенства и, в частности, те из них, кто владеет большими архивами графических и музыкальных файлов: "Большие издательства, в которые сегодня проник вирус, полностью потеряли свои фотоархивы. Это связано с тем, что I Love You удаляет определенные типы файлов, и апгрейд антивирусной базы данных позволяет удалить вирус, но не может остановить уже начавшийся процесс его разрушительного действия. Если у вас нет резервной копии файлов вне зараженной машины, считайте, что вы все потеряли".
Уже есть информация, что почтовые сообщения с I Love You были получены в Пентагоне, Федеральном Резервном Банке, Министерстве обороны США; ФБР начало расследование причин и источников распространения вируса.
Что происходит
При первом запуске вируса он копирует себя в следующие директории:
WINDOWS\SYSTEM\MSKERNEL32.VBS
WINDOWS\WIN32DLL.VBS
WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS
и добавляет следующие регистрационные ключи:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\MSKernel32=WINDOWS\SYSTEM\MSKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices\Win32DLL=WINDOWS\Win32DLL.vbs
I Love You сканирует все диски , доступ к которым можно осуществить с данной машины, в поисках файлов *.JPG и *.JPEG. Найдя их, вирус копирует себя в файлы и добавляет расширение .VBS (т.е. файл 123.JPG становится 123.JPG.VBS). Кроме того, вирус записывает себя во все файлы *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.HTA и изменяет их расширения на .VBS. При нахождении файлов *.MP3 и *.MP2, I Love You заменяет код, добавляет свое расширение и делает файл невидимым.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\WIN-BUGSFIX,
который автоматически запустит программу для кражи паролей при включении ОС. При этом троянец копирует себя в
WINDOWS\SYSTEM\WinFAT32.EXE
и заменяет соответствующий ключ Реестра на
Вариации вирусаHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\WinFAT32=WinFAT32.EXE.
LOVELETTER
Тема письма - ILOVEYOU,
тело - kindly check the attached LOVELETTER coming from me,
аттачмент - LOVE-LETTER-FOR-YOU.TXT.vbs.
Распространяется по электронной почте и сетям mIRC. В последнем случае вирус отправляет файл LOVE-LETTER-FOR-YOU.HTM всем пользователям того же канала, что и "зараженный" пользователь.
Susitikim
Тема письма - Susitikim shi vakara kavos puodukui...
В начале кода содержит комментарий -
"rem Modified Lameris Tamoshius / Lithuania (Tovi systems)".
Very Funny
Аттачмент - Very Funny.vbs,
тема - fwd: Joke,
тело - без текста,
создает файл Very Funny.HTM.
No Manila Header
Аналогичен LOVELETTER, но в коде отсутствуют два комментария -
"rem barok -loveletter(vbe) <i hate go to school>"
"rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines"
Mothersday
Тема письма - Mothers Day Order Confirmation,
тело - " We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com ",
аттачмент - mothersday.vbs.
Перенаправляет браузер на сайты http://www.hackers.com/ , http://www.l0pht.com/ , http://www.2600.com/ , http://www.hackers.com/ . mIRC-компонент пытается отправить документ mothersday.HTM.
Brainstorm
Аттачмент - ESKernel32.vbs, ES32DLL.vbs, Important.TXT.vbs,
тема - Important ! Read carefully !!,
тело - Check the attached IMPORTANT coming from me !
использует документ Important.HTM.
Что делать
Нажмите START|RUN
Впишите в командную строку REGEDIT и нажмите ENTERВ левой части окна нажмите на "+" против строки:
HKEY_LOCAL_MACHINE, Software, Microsoft, Windows, CurrentVersion, RunВ правой части окна найдите ключ, содержащий записи: \Windows\System\ MSKernel32.vbs" и “\WIN-BUGSFIX.exe” и удалите его.
Необходимо также найти и удалить ключ с записью “:\Windows\System\ Win32DLL.vbs".
Выйдите из Реестра.
Нажмите START|SHUTDOWN. Выберите режим "Restart in MS-DOS mode" и нажмите OK.
После перезапуска компьютера откроется директория C:\.
Добавьте в строку запись “DEL WIN-BUGSFIX.exe”.
Нажмите CTRL+ALT+DEL и пусть Windows перезагрузится.
Необходимо также найти и удалить файл VBS_LOVELETTER, что обезопасит систему от реинфицирования.
Для исправления записей в Рееестре и удаления испорченных вирусом файлов HTML и TXT, воспользуйтесь инструментом SWAT.EXE, разработанным TrendMicro.
Есть также и пара-тройка специализированных программ, которые помогут вам ликвидировать последствия разрушительных действий I Love You.
И на будущее. Не будьте чрезмерно любопытны - не стоит открывать никаких аттачментов к письмам, полученным от неизвестных вам лиц. Да и знакомые могут по неведению переслать вам зараженный файл.