VBS / LoveLetter este un vierme VBScript. Distribuită printr-un lanț de litere.
Pentru distribuție, viermele utilizează aplicația Outlook. LoveLetter creează, de asemenea, un virus VBS și se răspândește folosind clientul mIRC.
Când are loc o lansare, viermele se copiază mai întâi în director ltWindows dirgt / System ca:
-
Win32DLL.vbs
Apoi, adaugă o intrare în registru pentru a începe de fiecare dată când sistemul este repornit. În registru se adaugă:
Viermele înlocuiește pagina de pornire Internet Explorer cu un link care indică programul executabil, "WIN-BUGSFIX.exe". Dacă fișierul WIN-BUGSFIX.exe a fost descărcat, viermele adaugă, de asemenea, informații despre acesta în registru. Astfel, programul va fi executat după ce sistemul este repornit.
Partea executabilă pe care vierul a descărcat-o din rețea este troianul care interceptează parolele. Când începe troianul, încearcă să găsească o fereastră ascunsă numită "BAROK". “. Dacă fereastra este prezentă, troianul se iese imediat, dacă nu - conducerea primește partea principală. Troian verifică prezența pluginului WinFAT32 în cheia de registry HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run.
Dacă sub-cheia WinFAT32 nu este găsită, Troian-ul creează, se copiază în directorul \ Windows \ System \ ca WINFAT32. EXE și apoi începe de acolo. Astfel, modificările din registrul sistemului, îl fac activ pe troian de fiecare dată când porniți Windows.
Troianul se instalează în pagina de pornire IE ca fiind "despre: gol". Apoi găsește și elimină cheile:
-
Software \ Microsoft \ Windows \ CurrentVersion \ Politici \ Rețea \ HideSharePwds
-
Software \ Microsoft \ Windows \ CurrentVersion \ Politici \ Rețea \ DisablePwdCaching
-
.DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Politici \ Rețea \ HideSharePwds
-
.DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Politici \ Rețea \ DisablePwdCaching
De asemenea, în corpul troianului există mesaje criptate folosite numai de scopurile lui de înțeles.
După aceea, viermele creează un fișier HTML, "LOVE-LETTER-FOR-YOU.HTM", în directorul System. Acest fișier conține un vierme și va fi trimis cu mIRC de fiecare dată când utilizatorul atașează canalul IRC.
-
Subiect: ILOVEYOU
-
Corp: verificați cu atenție atașamentul LOVELETTER care vine de la mine.
-
Atașament: LOVE-LETTER-FOR-YOU.TXT.vbs
-
barok-loveletter (vbe) Urăsc să mergi la școală
-
de către: spyder / [email protected] / @GRAMMERSoft Group / Manila, Filipine
Îndepărtarea manuală a aplicației LoveLetter se poate face prin ștergerea următoarelor fișiere din mașina infectată:
- Toate fișierele .VBS de pe toate discurile și directoarele;
- Fișierul LOVE-LETTER-FOR-YOU.HTM din directorul Windows System;
- WIN-BUGSFIX.EXE și WINFAT32. EXE din directorul Download Internet Explorer'a.
Această versiune a virusului utilizează un alt Subj atunci când este distribuit:
-
Modificat Lameris Tamoshius / Lituania (sisteme Tovi)
Această variantă se multiplică cu mesajul:
-
Subiect: fwd: Joke
-
Atasament: Foarte Funny.vbs
Această opțiune este o versiune ușor modificată a VBS / LOVELETTER.A.
În plus, această opțiune șterge toate fișierele cu extensia * .ini "și * .bat" în loc de * .jpg "și * .jpeg". Această opțiune nu încearcă să încarce "WIN - BUGSFIX.EXE" de pe Internet, însă modifică pagina de start Internet Explorer.