VBS.LoveLetter.a |
Alias: | Lovebug,
I-Worm.LoveLetter, VBS/LoveLetter.A, VBS/LoveLet-A |
VBS.LoveLetter è un
Internet worm scritto in VBScript (Visual Basic Script) per Windows Scripting Host (WSH)
che si diffonde attraverso e-mail create con Microsoft Outlook.
Il virus essendo scritto in VBScript può funzionare solo sui sitemi Windows dove è presente WSH che viene installato per default in Windows 98 e Windows 2000 o comunque in sistemi dove è presente internet Explorer 5.x. Il worm tramite MAPI (Messaging Application Programming Interface) utilizza MS Outlook per inviare i messaggi di amore.
Descrizione e-mail:
Testo: kindly check the attached LOVELETTER coming from me.
Allegato:
LOVE-LETTER-FOR-YOU.TXT.vbs (cioè il worm)
Il worm sembra provenire
dalle Filippine, dal momento che nel sorgente è possibile leggere il seguente
testo:
“barok ...i hate go to school suck ->by:spyder @Copyright (c) 2000
GRAMMERSoft Group >Manila,Phils. “
VBS.LoveLetter ha effetti
distruttivi per i dati. Dopo essere stato eseguito, il worm comincia una ricerca
su tutti i drive locali e di rete, effettuando diverse operazioni sui file che
hanno le seguenti estensioni:
VBE, VBS:
questi file vengono sovrascritti con il codice del worm
JS, JSE, CSS, WSH, SCT,
HTA:
il worm crea un nuovo file avente lo stesso nome del file originale ma con
estensione .VBS. Il file originale è cancellato.
JPG, JPEG:
il worm crea un nuovo file con estensione .VBS, aggiunta al nome e
all'estensione del file originale (ad esempio un ipotetico file SAMPLE.JPG
diventa SAMPLE.JPG.VBS). Nel nuovo file viene scritto il codice del worm. Il
file originale è cancellato.
MP2, MP3:
viene creato un nuovo file nella modalità descritta per i file JPG e JPEG. Il
file originale viene mantenuto, ma con l'attributo "nascosto"
impostato.
MIRC32.EXE, MLINK32.EXE,
SCRIPT.INI, MIRC.HLP, MIRC.INI:
se uno di questi file viene trovato, il worm crea il file SCRIPT.INI nella
cartella dove risiedono tali file. Il worm inoltre crea anche alcune copie di se
stesso nella cartella di sistema, usando i seguenti nomi di file:
MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS.
Inoltre crea delle chiavi nel registro a scopo di essere eseguito automaticamente all'avvio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL
Il worm crea anche una sorta
di HTML dropper nella cartella di sistema di Windows. Il dropper mostra sullo
schermo il seguente messaggio:
This HTML file need ActiveX Control
To Enable to read this HTML file
- Please press 'YES' button to Enable ActiveX
Mostrato tale messaggio, il
dropper crea il file MSKERNEL32.VBS contenente il codice del worm e ne imposta
l'esecuzione automatica attraverso la creazione di un'apposita chiave nel
Registro.
Altri
effetti
VBS.LoveLetter testa la
presenza del file WINFAT32.EXE nella cartella di sistema di Windows. Nel caso in
cui il file non sia presente, il worm modifica una particolare chiave nel
Registro che gli permette di impostare l'indirizzo della pagina iniziale
mostrata all'avvio di Internet Explorer. Il nuovo indirizzo viene scelto a caso
tra quattro possibili URL sul server www.skyinet.net. Tutti gli indirizzi
puntano a un file WIN-BUGSFIX.EXE, che nelle intenzioni dell'autore del worm
dovrebbe essere prelevato attraverso Internet Explorer e memorizzato nel
percorso C:\, per poi essere eseguito al successivo avvio del sistema operativo
attraverso un'altra chiave Run creata dal worm nel Registro. In realtà tale
operazione non pare avere alcun esito, dal momento che il file WIN-BUGSFIX.EXE
sembra essere stato rimosso da tutti gli indirizzi usati dal worm.
Secondo quanto riportato da
SARC (Symantec AntiVirus Research center), il file WIN-BUGSFIX.EXE è un cavallo
di troia in grado di rubare delle password. Al suo avvio, il trojan tenta di
trovare una finestra nascosta di Windows con nome 'BAROK…'. Se la finestra
risulta assente il trojan effettua un test sulla presenza della chiave WinFAT32
nel seguente percorso del Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Se la chiave non esiste, il
trojan la crea, copia se stesso nella cartella di sistema di Windows usando il
nome WINFAT32.EXE e quindi scrive nuovamente nel Registro allo scopo di creare
una nuova chiave che permetterà l'esecuzione del trojan ad ogni avvio di
Windows. A questo punto il trojan imposta la pagina iniziale di Internet
Explorer a "about:blank" (pagina vuota) e tenta di trovare e
cancellare le seguenti chiavi nel Registro:
Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds
Software\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching
.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds
.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching
Il trojan registra una nuova
classe di finestre e ne crea una nascosta con il titolo impostato a 'BAROK…',
quindi rimane residente nella memoria del sistema come applicazione non
visibile. Subito dopo il suo avvio e nel momento in cui un contatore interno
raggiunge un determinato valore, il trojan carica in memoria la libreria
dinamica MPR.DLL, chiama la funzione WNetEnumCachedPasswords e invia le password
trovate all'indirizzo mailme@super.net.ph. Il trojan usa il server
'smpt.super.net.ph' per spedire le e-mail. Il soggetto delle e-mail è 'BAROK…
Rimozione manuale
Per quanto riguarda la
rimozione manuale seguire le seguenti informazioni:
Ci sono anche altre versioni
del virus:
By SARC