Черви почтой. Недорого.

Хакер, номер #019, стр. 019-064-1

Андрей Князев (knyazev@xakep.ru)

Let`s GO!

Это случилось. Это случилось 4 мая. Еще одним "черным четвергом" стало больше. Еще не одна тысяча сисадминов получила хороший нагоняй и не детскую головную боль. В общем, 4 мая - день, который многие вспоминают даже сейчас - спустя 2 месяца. Но хватит загадок, я думаю, все поняли, что речь шла о ставшем широко известным почтовом вирусе "I Love You".

I Love You - "последний герой"

В начале мая очень многие начали получать по почте странные письма, по виду содержащие признание в любви, в subject'е письма стояло - "ILOVEYOU". Естественно, что многие впечатлительные особы поспешили ознакомиться с этим письмом. Итог - массовое убийство важных документов и лавина "любовных" писем, разосланных всем, кто был в адресной книге (а надо заметить, что у многих адресная книга содержит многие десятки, а то и сотни записей).

Механизм работы вируса в который раз оказался прост и гениален (и в который раз большинство пользователей начало лечить свои машины постфактум, своевременно не позаботившись о собственной безопасности). Хотя Х и выступает за "разумную селекцию пользователей", но даже видавшие виды бойцы уронили скупую слезу, открыв такое письмо и обнаружив через некоторое время, что любимая коллекция картинок Клавы Шифер благополучно сыграла в ящик.

Детали вируса

Международное имя: VBS.LoveLetter.

Каким путем передается: вирус приходит с сообщениями по электронной почте или по каналам IRC. Письмо с вирусом очень легко опознать - в теме письма написано "ILOVEYOU" (надеюсь, что ты не только от вирей и троянов письма с таким сабжем получаешь), ;) что сразу привлекает к нему внимание. В теле письма содержится текст "kindly check the attached LOVELETTER coming from me" и присоединенный файл с именем "LOVE-LETTER-FOR-YOU.TXT.vbs". Поскольку у большинства стоит установка "Не показывать расширения для файлов зарегистрированных типов", юзер смело открывает вложенный файл, запуская тем самым сценарий на Visual Basic Script.

Система, на которой живет вирус: мастдай 95 и выше. Для "грамотной" работы необходим MS Outlook (под остальными почтовыми клиентами не осуществляется спаммерская рассылка вредоносного письма людям из адресной книги).

Действия вируса: вирус создает свои копии в системном и главном каталогах Win; в системный каталог вирус записывает две копии под именами "MSKeel32.vbs" и "LOVE-LETTER-FOR-YOU.TXT.vbs", соответственно, а в основной каталог - одну под именем "Win32DLL.vbs". Помимо этого, вирь ставит себя на автозапуск при старте компа (меняется несколько ключей реестра).

Деструктивный эффект: в случае, если почтовик - MS Outlook, вирус пошлет себя, любимого, всем, кто есть в адресной книге.

Далее, вирус пытается скачать и запустить файло WIN-BUGSFIX.EXE (данная опция была благополучно прикрыта - провайдеры быстро закрыли все 4 адреса, откуда вирус пытался получить файл).

Ну и наконец самое "приятное" - вирус сканирует все доступные жесткие диски и записывает свои копии во все файлы с расширениями: .jpg, .jpeg, .js, .css, .vbs, .vbe, .jse, .wsh, .sct и .hta. Все эти файлы после этого получают расширение .vbs (если не имели такового изначально). Помимо картинок (потерю которых все же можно пережить), вирус находит .mpeg файлы с расширениями .mp2 и .mp3. По счастью, вирус не затирает их, а лишь создает файлы с такими же именами, но уже с расширениями .vbs. В .vbs файлы также пишется код вируса, а оригинальным .mpeg'ам ставится атрибут "hidden".

Содержание  Вперед на стр. 019-064-2

ttfb: 2.8121471405029 ms