Виявлено новий небезпечний вірус, хто вдає освідченням у коханні!
Вірус вперше проявився в Гонконзі в середині дня в четвер (4 травня). До цього часу він встиг заразити безліч комп'ютерних систем в Азії, США і Європі: CNN повідомляє про те, що в Азії постраждали багато комерційних компаній, а в США - комп'ютери Сенату США. Палаті представників неждана "визнання в любові", навпаки, завдало мінімальної шкоди, хоча там були стерті "сотні тисяч" копій вірусу, додає CNN. Також постраждали комп'ютерні системи Палати громад у Великобританії, Європейського парламенту, великих європейських комерційних компаній.
"Лабораторія Касперського" про новий інтернет-черв'яка LoveLetter
"Лабораторія Касперського" повідомляє про появу в "живому" вигляді нового небезпечного Інтернет-хробака, який отримав назву I-Worm.LoveLetter. Всього за кілька годин протягом 4 травня ц.р. цей новий Інтернет-черв'як відвідав комп'ютери тисячі користувачів у всьому світі. Не уникла його відвідування і "Лабораторія Касперського". Невідомі зловмисники розіслали заражене "визнання в любові" по всьому світу.
Поширення і виявлення:
Користувач отримує лист з темою ILOVEYOU і текстом kindly check the attached LOVELETTER coming from me. У листі присутній вкладення у вигляді файлу LOVE-LETTER-FOR-YOU.TXT.vbs.
Після відкриття цього вкладення вірус сканує локальні і підключені мережеві диски і намагається переписати всі файли з розширеннями VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG, MP2, MP3 своїм тілом, при цьому оригінальні файли втрачаються безповоротно .
Методи захисту:
Для недопущення проникнення даного Інтернет-хробака на Ваш комп'ютер настійно рекомендується не відкривати лист і ні в якому разі запускати вкладений файл LOVE-LETTER-FOR-YOU.TXT.vbs.
Фахівці "Лабораторії Касперського" в протягом 1 години, створили вакцину проти цього вірусу, провели її тестування і включили в чергове щоденне оновлення антивірусної бази AVP, яка своєчасно дозволяє захищати користувачів від "непрошених гостей".
Процедури виявлення і видалення вірусу I Worm.LoveLetter можна знайти на сайті "Лабораторії Касперського".
прояви хробака
Після старту черв'як шукає всі файли на всіх доступних дисках. Для файлів з різними розширеннями хробак виконує наступні дії:
1. VBS, VBE:
Перезаписує їх собою.
2. JS, JSE, CSS, WSH, SCT, HTA:
Створює файл з ім'ям оригінального об'єкта і розширенням VBS, записує в цей файл своє тіло і видаляє оригінальний файл.
3. JPG, JPEG:
Файли з такими розширеннями хробак затирає собою і перейменовує їх, додаючи до імені та розширення файлу-жертви розширення .VBS (наприклад - PIC1.JPG.VBS).
4. MP2, MP3:
Створює новий файл з ім'ям і розширенням файлу жертви, додавши розширення VBS, записує туди своє тіло, а на оригінальні файли встановлює атрибут прихований.
5. Якщо знайдений один з файлів:
MIRC32.EXE, MLINK32.EXE, SCRIPT.INI, MIRC.HLP, MIRC.INI створює на диску скрипт файл SCRIPT.INI в каталозі з IRC-клієнтом.
6. Черв'як також створює на диску в системних каталогах файли зі своїми копіями.
Імена створюваних файлів:
MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS
Завантаження троянського файлу
Черв'як також створює на диску в системних каталогах файли зі своїми копіями. Імена створюваних файлів:
MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS
Черв'як прописує в секції для автоматичного запуску файли:
Модифікуються ключі системного реєстру:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \
Run \ MSKernel32
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \
CurrentVersion \ RunServices \ Win32DLL
Черв'як створює на диску в системному каталозі WINDOWS свій HTML дроппер:
SCRIPT.INI розсилає цей HTM-дроппер по IRC-каналах. Після запуску HTML файлу браузер виводить текст:
This HTML file need ActiveX Control
To Enable to read this HTML file
- Please press 'YES' button to Enable ActiveX
Потім хробак створює з себе за допомогою скрипт програми файл MSKERNEL32.VBS і прописує його в автозавантаження в системному реєстрі:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \
Run \ MSKernel32