Virusul loveletter

VBS / LoveLetter este un vierme VBScript. Distribuită printr-un lanț de litere.

Pentru distribuție, viermele utilizează aplicația Outlook. LoveLetter creează, de asemenea, un virus VBS și se răspândește folosind clientul mIRC.






Când are loc o lansare, viermele se copiază mai întâi în director ltWindows dirgt / System ca:

și în director ltWindows dirgt:
    Win32DLL.vbs

Apoi, adaugă o intrare în registru pentru a începe de fiecare dată când sistemul este repornit. În registru se adaugă:

Viermele înlocuiește pagina de pornire Internet Explorer cu un link care indică programul executabil, "WIN-BUGSFIX.exe". Dacă fișierul WIN-BUGSFIX.exe a fost descărcat, viermele adaugă, de asemenea, informații despre acesta în registru. Astfel, programul va fi executat după ce sistemul este repornit.
Partea executabilă pe care vierul a descărcat-o din rețea este troianul care interceptează parolele. Când începe troianul, încearcă să găsească o fereastră ascunsă numită "BAROK". “. Dacă fereastra este prezentă, troianul se iese imediat, dacă nu - conducerea primește partea principală. Troian verifică prezența pluginului WinFAT32 în cheia de registry HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run.
Dacă sub-cheia WinFAT32 nu este găsită, Troian-ul creează, se copiază în directorul \ Windows \ System \ ca WINFAT32. EXE și apoi începe de acolo. Astfel, modificările din registrul sistemului, îl fac activ pe troian de fiecare dată când porniți Windows.
Troianul se instalează în pagina de pornire IE ca fiind "despre: gol". Apoi găsește și elimină cheile:

    Software \ Microsoft \ Windows \ CurrentVersion \ Politici \ Rețea \ HideSharePwds






    Software \ Microsoft \ Windows \ CurrentVersion \ Politici \ Rețea \ DisablePwdCaching
    .DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Politici \ Rețea \ HideSharePwds
    .DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Politici \ Rețea \ DisablePwdCaching

De asemenea, în corpul troianului există mesaje criptate folosite numai de scopurile lui de înțeles.
După aceea, viermele creează un fișier HTML, "LOVE-LETTER-FOR-YOU.HTM", în directorul System. Acest fișier conține un vierme și va fi trimis cu mIRC de fiecare dată când utilizatorul atașează canalul IRC.

Virusul loveletter

Virusul loveletter

    Subiect: ILOVEYOU
    Corp: verificați cu atenție atașamentul LOVELETTER care vine de la mine.
    Atașament: LOVE-LETTER-FOR-YOU.TXT.vbs
    barok-loveletter (vbe) Urăsc să mergi la școală
    de către: spyder / [email protected] / @GRAMMERSoft Group / Manila, Filipine

Îndepărtarea manuală a aplicației LoveLetter se poate face prin ștergerea următoarelor fișiere din mașina infectată:

  • Toate fișierele .VBS de pe toate discurile și directoarele;
  • Fișierul LOVE-LETTER-FOR-YOU.HTM din directorul Windows System;
  • WIN-BUGSFIX.EXE și WINFAT32. EXE din directorul Download Internet Explorer'a.

Această versiune a virusului utilizează un alt Subj atunci când este distribuit:

    Modificat Lameris Tamoshius / Lituania (sisteme Tovi)

Această variantă se multiplică cu mesajul:

    Subiect: fwd: Joke
    Atasament: Foarte Funny.vbs

Această opțiune este o versiune ușor modificată a VBS / LOVELETTER.A.

Virusul loveletter

În plus, această opțiune șterge toate fișierele cu extensia * .ini "și * .bat" în loc de * .jpg "și * .jpeg". Această opțiune nu încearcă să încarce "WIN - BUGSFIX.EXE" de pe Internet, însă modifică pagina de start Internet Explorer.







Articole similare

Pagina anterioară

Pagina următoare

Trimiteți-le prietenilor: