Admin
Admin
Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 34
Локација : Smederevo
|
 Наслов: VBS/Loveletter 3/7/2009, 17:47 |
|
|
VIRUS INFO
Naziv virusa: VBS/Loveletter
Alias: VBS/Loveletter-C, VBS/Loveletter-D, VBS/Loveletter-E, Susitikum
Tip: worm
Način širenja: e-mailom ili preko IRC-a ili mIRC-a.
Veličina:
Destruktivan:
da
Datum aktiviranja: čim se startuje.
Otkriven: 4.05.2000.
OBJAŠNJENJE
Ovo je VBScript crv sa kvalitetom "pravog" virusa. Ovaj crv će Vam stići kao e-mail poruka:
Subject: "ILOVE YOU" ili "Susitikim shi vakara kavos puodukui..". ili "Joke"
Message "kindly check the attached LOVELETTER coming from me."
Attachment "LOVE-LETTER-FOR-YOU.TXT.vbs" ili "VeryFunny.vbs".
Kada korisnik startuje attachment virus će se startovati pomoću Windows Scripting Host programa. Ovo nije standardna opcija kada se instaliraWindows 9x, jedino ako je kasnije doinstalirano ručni ili kada je instaliran Internet Explorer 5.0.
Kada se crv pokrene, prave se sledeći fajlovi:
C:\ WINDOWS \ SYSTEM \ MSKERNEL32.VBS
C:\ WINDOWS \ WIN32DLL.VBS
C:\ WINDOWS \ SYSTEM\ LOVE-LETTER-FOR-YOU.TXT.VBS.
A takođe se "ugnjezdi" u registry:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
MSKernel32=C:\ WINDOWS \ SYSTEM \ MSKernel32.vbs
i
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices \ Win32DLL=C:\ WINDOWS \ Win32DLL.vbs
kako bi obezbedio sebe da će se startovati svaki put kada se Windows startuje.
Virus, takođe, sve fajlove koji imaju ekstenziju *.JPG; *.JPEG; *.MP3 i *.MP2 sa svojom kopijom dodajući im i ekstenziju .VBS (slika.jpg posle infiociranja je slika.jpg.vbs). Fajlovi koji imaju ekstanzije *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT i *.HTA su takođe inficirane ovim virusom i doda im ekstentiju .VBS.
Kada se virus proširi po računaru na kraju procedure se kreira fajl LOVE-LETTER-FOR-YOU.HTM koji sadrži virus, i šalje ga preko IRC ili mIRC kanala svim korisnicima koji su na spisku. Ovo je omogućeno timešto je virus već inficirao fajl SCRIPT.INI. Posle kraće pauze virus koristi Microsoft Outlook da bi se poslao svima koji se nalaze u Address booku. Poruka koja je tom prilikom poslata je identična onoj koju je, sada već zaraženi, korisnik dobio.
Da bi bilo još zanimljivije, virus kada detektuje da je korisnik online, downloaduje fajl WIN-BUGFIX.EXE koji je u stvari program za krađu korisničkih šifri koji će ukrasti sve keširane šifre i poslati na adresu MAILME@SUPER.NET.PH. Da korisnik ne bi primetio da virus downloaduje prigram, korisnikov Internet Explorer će usmeriti na sajt na kome se nalazi trojanac za krađu šifri.
Ovako izgleda e-mail koji šalje program koji je ukrao korisnikovu šifru:
-------------copy of email sent-----------
From: goat1@192.168.0.2To: mailme@super.net.ph
Subject: Barok... email.passwords.sender.trojan
X-Mailer: Barok... email.passwords.sender.
trojan---by: spyder
Host: [machine name]
Username: [user name]
IP Address: [victim IP address]
RAS Passwords:...[victim password info]
Cache Passwords:...[victim password info]
-------------copy of email sent-----------
Da bi se autor virusa informisao o svakoj promeni korisničke šifre, virus napravi ključ u registry bazi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ WIN-BUGSFIX
kako bi se startovao sledeći put kada se Microsoft Windows startuje. Kada se Windows startuje, virus kreira WINDOWS \ SYSTEM \ WINFAT32.EXE fajl i promeni ključ u registriju:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
WinFAT32=WinFAT32.EXE
REŠENJE
osveženi antivirusni program i pazite šta dobijate od prijatelja.
|
|
Calendar
