VBS.LoveLetter.a

Alias: Lovebug, I-Worm.LoveLetter, VBS/LoveLetter.A, VBS/LoveLet-A  

Descrizione tecnica:

VBS.LoveLetter è un Internet worm  scritto in VBScript (Visual Basic Script) per Windows Scripting Host (WSH) che si diffonde attraverso e-mail create con Microsoft Outlook.  

Il virus essendo scritto in VBScript può funzionare solo sui sitemi Windows dove è presente WSH che viene installato per default in Windows 98 e Windows 2000 o comunque in sistemi dove è presente internet Explorer 5.x. Il worm tramite MAPI (Messaging Application Programming Interface) utilizza MS Outlook per inviare i messaggi di amore.

Descrizione e-mail:

Soggetto: ILOVEYOU
Testo: kindly check the attached LOVELETTER coming from me.
Allegato: LOVE-LETTER-FOR-YOU.TXT.vbs (cioè il worm)

Il worm sembra provenire dalle Filippine, dal momento che nel sorgente è possibile leggere il seguente testo:

“barok ...i hate go to school suck ->by:spyder @Copyright (c) 2000 GRAMMERSoft Group >Manila,Phils.

VBS.LoveLetter ha effetti distruttivi per i dati. Dopo essere stato eseguito, il worm comincia una ricerca su tutti i drive locali e di rete, effettuando diverse operazioni sui file che hanno le seguenti estensioni:

VBE, VBS:
questi file vengono sovrascritti con il codice del worm

JS, JSE, CSS, WSH, SCT, HTA:
il worm crea un nuovo file avente lo stesso nome del file originale ma con estensione .VBS. Il file originale è cancellato.

JPG, JPEG:
il worm crea un nuovo file con estensione .VBS, aggiunta al nome e all'estensione del file originale (ad esempio un ipotetico file SAMPLE.JPG diventa SAMPLE.JPG.VBS). Nel nuovo file viene scritto il codice del worm. Il file originale è cancellato.

MP2, MP3:
viene creato un nuovo file nella modalità descritta per i file JPG e JPEG. Il file originale viene mantenuto, ma con l'attributo "nascosto" impostato.

MIRC32.EXE, MLINK32.EXE, SCRIPT.INI, MIRC.HLP, MIRC.INI:
se uno di questi file viene trovato, il worm crea il file SCRIPT.INI nella cartella dove risiedono tali file. Il worm inoltre crea anche alcune copie di se stesso nella cartella di sistema, usando i seguenti nomi di file: MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS.

Inoltre crea delle chiavi nel registro a scopo di essere eseguito automaticamente all'avvio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL

 

Il worm crea anche una sorta di HTML dropper nella cartella di sistema di Windows. Il dropper mostra sullo schermo il seguente messaggio:

 

This HTML file need ActiveX Control
To Enable to read this HTML file
- Please press 'YES' button to Enable ActiveX

 

Mostrato tale messaggio, il dropper crea il file MSKERNEL32.VBS contenente il codice del worm e ne imposta l'esecuzione automatica attraverso la creazione di un'apposita chiave nel Registro.

Altri effetti

VBS.LoveLetter testa la presenza del file WINFAT32.EXE nella cartella di sistema di Windows. Nel caso in cui il file non sia presente, il worm modifica una particolare chiave nel Registro che gli permette di impostare l'indirizzo della pagina iniziale mostrata all'avvio di Internet Explorer. Il nuovo indirizzo viene scelto a caso tra quattro possibili URL sul server www.skyinet.net. Tutti gli indirizzi puntano a un file WIN-BUGSFIX.EXE, che nelle intenzioni dell'autore del worm dovrebbe essere prelevato attraverso Internet Explorer e memorizzato nel percorso C:\, per poi essere eseguito al successivo avvio del sistema operativo attraverso un'altra chiave Run creata dal worm nel Registro. In realtà tale operazione non pare avere alcun esito, dal momento che il file WIN-BUGSFIX.EXE sembra essere stato rimosso da tutti gli indirizzi usati dal worm.

Secondo quanto riportato da SARC (Symantec AntiVirus Research center), il file WIN-BUGSFIX.EXE è un cavallo di troia in grado di rubare delle password. Al suo avvio, il trojan tenta di trovare una finestra nascosta di Windows con nome 'BAROK…'. Se la finestra risulta assente il trojan effettua un test sulla presenza della chiave WinFAT32 nel seguente percorso del Registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Se la chiave non esiste, il trojan la crea, copia se stesso nella cartella di sistema di Windows usando il nome WINFAT32.EXE e quindi scrive nuovamente nel Registro allo scopo di creare una nuova chiave che permetterà l'esecuzione del trojan ad ogni avvio di Windows. A questo punto il trojan imposta la pagina iniziale di Internet Explorer a "about:blank" (pagina vuota) e tenta di trovare e cancellare le seguenti chiavi nel Registro:

Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds
Software\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching
.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds
.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching

Il trojan registra una nuova classe di finestre e ne crea una nascosta con il titolo impostato a 'BAROK…', quindi rimane residente nella memoria del sistema come applicazione non visibile. Subito dopo il suo avvio e nel momento in cui un contatore interno raggiunge un determinato valore, il trojan carica in memoria la libreria dinamica MPR.DLL, chiama la funzione WNetEnumCachedPasswords e invia le password trovate all'indirizzo mailme@super.net.ph. Il trojan usa il server 'smpt.super.net.ph' per spedire le e-mail. Il soggetto delle e-mail è 'BAROK…

Rimozione manuale

Per quanto riguarda la rimozione manuale seguire le seguenti informazioni:

 

  1. Cancella I files infetti rivelati dall’antivirus.

 

  1. Apri il registro di configurazione usando regedit.exe (o qualsiasi altra utilità per scrivere nel registro di configurazione) e posizionarsi a: HKEY_LOCAL_MACHINE\Software\
    Microsoft\Windows\CurrentVersion\Run

 

  1. Elimina le voci create dal virus 

 

  1. Ripristina la pagina di avvio di Internet Explorer  

 


Ci sono anche altre versioni del virus:    


By SARC

  1. VBS.LoveLetter.B (Alias: Lithuania) Allegato: LOVE-LETTER-FOR-YOU.TXT.vbs
    Soggetto: Susitikim shi vakara kavos puodukui...
  2. VBS.LoveLetter.C (Alias: Very Funny) Allegato: Very Funny.vbs
    Soggetto: fwd: Joke
  3. VBS.LoveLetter.D (Alias: BugFix) Allegato: LOVE-LETTER-FOR-YOU.TXT.vbs
    Soggetto: ILOVEYOU
  4. VBS.LoveLetter.E (Alias: Mother's Day) Allegato: mothersday.vbs
    Soggetto: Mothers Day Order Confirmation
  5. VBS.LoveLetter.F (Alias: Virus Warning) Allegato:virus_warning.jpg.vbs
    Soggetto: Dangerous Virus Warning
  6. VBS.LoveLetter.G (Alias: Virus ALERT!!!) Allegato: protect.vbs
    Soggetto: Virus ALERT!!!
  7. VBS.LoveLetter.H (Alias:No Comments) Allegato: LOVE-LETTER-FOR-YOU.TXT.vbs
    Soggetto: Susitikim shi vakara kavos puodukui...
  8. VBS.LoveLetter.I (Alias: Important! Read carefully!!) Allegato: Important.TXT.vbs
    Soggetto: Important! Read carefully!!
     
  9. VBS.LoveLetter.J
    ATTACHMENT: protect.vbs
    SUBJECT LINE: Virus ALERT!!!
    MESSAGE BODY: Largely the same as the G variant.
    MISC. NOTES: This appears to be a slight modification of the G variant.
  10. VBS.LoveLetter.K
    ATTACHMENT: Virus-Protection-Instructions.vbs
    SUBJECT LINE: How to protect yourself from the IL0VEY0U bug!
    MESSAGE BODY: Here's the easy way to fix the love virus.
  11. VBS.LoveLetter.L (I Cant Believe This!!!)
    ATTACHMENT: KillEmAll.TXT.VBS
    SUBJECT LINE: I Cant Believe This!!!
    MESSAGE BODY: I Cant Believe I have Just Recieved This Hate Email .. Take A Look!
    MISC. NOTES: comment has phrase/words: Killer, by MePhiston, replaces GIF & BMP instead of JPG & JPEG, hides WAV & MID instead of MP3 & MP2. NO IRC routine, there it will not infect chat room users. Copies KILER.HTM, KILLER2.VBS, KILLER1.VBS to the hard disk.
  12. VBS.LoveLetter.M (Arab Air)
    ATTACHMENT: ArabAir.TXT.vbs
    SUBJECT LINE: Thank You For Flying With Arab Airlines
    MESSAGE BODY: Please check if the bill is correct, by opening the attached file
    MISC. NOTES: Replaces DLL & EXE files instead of JPG & JPEG. Hides SYS & DLL files instead of MP3 & MP2. Copies no-hate-FOR-YOU.HTM to the hard disk.
  13. VBS.LoveLetter.N (also known as Variant Test)
    ATTACHMENT: IMPORTANT.TXT.vbs
    SUBJECT LINE: Variant Test
    MESSAGE BODY: This is a variant to the vbs virus.
    MISC. NOTES: Copies itself as sndvol32.vbs and IEAKDLL.vbs. Internet Explorer start page changed to http://altalavista.box.sk. It does not download the password stealing trojan. Overwrites *.mpg, *.mpeg, *.avi, *.qt, *.qtm. Sends the file important.htm into Internet chat rooms via mIRC.
  14. VBS.LoveLetter.O (same as A version)
    ATTACHMENT: LOVE-LETTER-FOR-YOU.TXT.vbs
    SUBJECT LINE: ILOVEYOU
    MESSAGE BODY: kindly check the attached LOVELETTER coming from me.
    MISC. NOTES: The file script.ini, which it sends into Internet chat rooms, has a modified comment line.
  15. VBS.LoveLetter.P (also known as Yeah Yeah)
    ATTACHMENT: Vir-Killer.vbs
    SUBJECT LINE: Yeah, Yeah another time to DEATH...
    MESSAGE BODY: This is the Killer for VBS.LOVE-LETTER.WORM.
    MISC. NOTES: Sets the Internet Explorer start page to http://www.yahoo.com/Vir-Killer.exe. It does not download the password stealing trojan. Overwrites *.ZIP and *.RAR files instead of *.JPG and *.JPEG file. Hides *.PAS and *.ASM files instead of *.MP3 and *.MP2
  16. VBS.LoveLetter.Q (also known as LOOK!)
    ATTACHMENT: LOOK.vbs
    SUBJECT LINE: LOOK!
    MESSAGE BODY: hehe...check this out.
    MISC. NOTES: Copies itself as MSUser32.vbs and User32DLL.vbs. Overwrites *.XLS and *.MDB files instead of *.JPG and *.JPEG. Hides *.EXE and *.LNK instead of *.MP3 and *.MP2. Creates LOOK.HTM

  17. VBS.LoveLetter.R (also known as Bewerbung)
    ATTACHMENT: BEWERBUNG.TXT.vbs
    SUBJECT LINE: Bewerbung Kreolina
    MESSAGE BODY: Sehr geehrte Damen und Herren!
    MISC. NOTES: IRC sends BEWERBUNG.HTM into connected Internet chat room.
  18. VBS.LoveLetter.S (same as A version)
    ATTACHMENT: LOVE-LETTER-FOR-YOU.TXT.vbs
    SUBJECT LINE: ILOVEYOU
    MESSAGE BODY: kindly check the attached LOVELETTER coming from me.
    MISC. NOTES: Several comment lines have been added.