Інфо про відомий комп’ютерний вірус
За даними компанії F-Secure, вірус, який розповсюджується через електронні поштові повідомлення, що містять у полі "Тема" листи запис "I Love You" або "Love Letter", вперше з'явився 4 травня в Азії. Імовірним джерелом його походження є Філіппіни.
На думку експертів, вірус I Love You може принести багато більше неприємностей, ніж сумнозвісна Melissa.
На думку Міко Хіппонена (Mikko Hypponen), керівника дослідницької групи F-Secure, за п'ять останніх років ще не було вірусу, який би так швидко і глобально поширювався по світу: "За чотири години з часу першого тривожного повідомлення з Норвегії, що надійшов о 9 ранку за Грінвічем, у F-Secure вже є дані про вірус із понад 20 країн".
Вже є інформація, що поштові повідомлення з I Love You були отримані у Пентагоні, Федеральному Резервному Банку, Міністерстві оборони США; ФБР розпочало розслідування причин та джерел поширення вірусу.
Що відбувається
При першому запуску вірусу він копіює себе у такі директорії:
WINDOWS\SYSTEM\MSKERNEL32.VBS WINDOWS\WIN32DLL.VBS WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS
та додає такі реєстраційні ключі:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\MSKernel32=WINDOWS\SYSTEM\MSKernel32.vbs HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\W2
I Love You скануєвсі диски, доступ до яких можна здійснити з даної машини, у пошуках файлів *.JPG та *.JPEG. Знайшовши їх, вірус копіює себе файли і додає розширення .VBS (тобто файл 123.JPG стає 123.JPG.VBS). Крім того, вірус записує себе у всі файли *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH,*.SCT, *.HTA і змінює їх розширення на .VBS. При знаходженні файлів *.MP3 та *.MP2, I Love You замінює код, додає своє розширення і робить файл невидимим.
який автоматично запустить програму для крадіжки паролів під час увімкнення ОС. При цьому троянець копіює себе в
та замінює відповідний ключ Реєстру на
Варіації вірусу
За даними компанії TrendMicro, є п'ять варіацій вірусу:
LOVELETTER Тема листа- ILOVEYOU, тіло - по-іншому виконаний LOVELETTER від мене, атачмент - LOVE-LETTER-FOR-YOU.TXT. vbs. Поширюється електронною поштою та мережами mIRC. В останньому випадку вірус відправляє файл LOVE-LETTER-FOR-YOU.HTM всім користувачам того ж каналу, що і "заражений" користувач.
Very FunnyАтачмент - Very Funny.vbs, тема - fwd: Joke, тіло - без тексту, створює файл Very Funny.HTM.
MothersdayТема листа - Mothers Day Order Confirmation, тіло - " Ви повинні були скористатися вашою кредитною карткою для суми $326.92 для матусі денний алмазний спеціаліст. до цього електронного листа. Перенаправляє браузер на сайти http://www.hackers.com/ , http://www.l0pht.com/ , http://www.2600.com/ , http://www.hackers.com/ . mIRC-компонент намагається надіслати документ mothersday.HTM.
BrainstormАтачмент-ESKernel32.vbs, ES32DLL.vbs, Important.TXT.vbs, тема - Important ! Read carefully. тіло - Check the attached IMPORTANT coming from me ! використовує документ Important.HTM.
Що робити
Якщо ваша системавже заражена вірусом, то єдине, що ви можете зробити, це видалити джерело зараження.
Натисніть STARTRUN Впишіть у командний рядок REGEDIT та натисніть ENTER
У лівій частині вікна натисніть на "+" проти рядка: HKEY_LOCAL_MACHINE, Software, Microsoft, Windows, CurrentVersion, Run
У правій частині вікна знайдіть ключ, що містить записи: \Windows\System\ MSKernel32.vbs" і "WIN-BUGSFIX.exe" і видаліть його.
Необхідно також знайти та видалити ключ із записом “:\Windows\System\ Win32DLL.vbs”.
Вийдіть із Реєстру.
Натисніть кнопку STARTSHUTDOWN. Виберіть "Restart in MS-DOS mode" та натисніть OK.
Після перезапуску комп'ютера відкриється директорія C:\.
Додайте до рядка запис “DEL WIN-BUGSFIX.exe”.
Натисніть CTRL+ALT+DEL і хай Windows перезавантажиться.
Необхідно також знайти та видалити файл VBS_LOVELETTER, що убезпечить систему від реінфікування.
Для виправлення записів у Реєстрі та видалення зіпсованих вірусом файлів HTML та TXT, скористайтеся інструментом SWAT.EXE, розробленим TrendMicro.
Є також пара-трійка спеціалізованих програм, які допоможуть вам ліквідувати наслідки руйнівних дій I Love You.
І на майбутнє. Не будьте надмірно цікаві – не варто відкривати жодних атачментів до листів, отриманих від невідомих вам осіб. Та й знайомі можуть через невідання переслати вам заражений файл.