Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Email-Worm.Win32.LoveLetter

Jest to robak internetowy, który spowodował globalną epidemię w maju 2000 roku. Rozprzestrzenia się za pośrednictwem wiadomości e-mail oraz przy użyciu kanałów IRC. Jako źródło kontaktów do potencjalnych ofiar robak wykorzystuje książkę adresową programu MS Outlook. Szkodnik powstał przy użyciu skryptowego języka programowania Visual Basic Script (VBS). Działa wyłącznie w systemach z zainstalowanym Windows Scripting Host (WSH). W systemach Windows 98 oraz Windows 2000 mechanizm ten zainstalowany jest domyślnie.

Po uruchomieniu robak wysyła własne kopie za pośrednictwem wiadmości e-mail, instaluje się w systemie, wykonuje destrukcyjne procedury oraz pobiera i instaluje konia trojańskiego.

W kodzie szkodnika zapisana jest następująca sygnatura:

barok -loveletter(vbe) < i hate go to school > 
by: spyder  /  ispyder@mail.com  /  
@GRAMMERSoft Group  /  Manila,Philippines

Rozprzestrzenianie

Szkodnik dociera do komputera w postaci wiadomości e-mail z załączonym plikiem VBS. Wiadomość wygląda następująco:

  • Temat:
    ILOVEYOU
  • Treść:
    kindly check the attached LOVELETTER coming from me.
  • Nazwa załącznika: LOVE-LETTER-FOR-YOU.TXT.vbs

Po uruchomieniu przez użytkownika robak uzyskuje dostęp do książki adresowej programu MS Outlook, pobiera z niej wszystkie adresy e-mail i wysyła pod nie własne kopie.

Szkodnk instaluje się w systemie. Tworzy własne kopie z poniższymi nazwami:

  • w folderze Windows: WIN32DLL.VBS
  • w folderze systemowym Windows: MSKERNEL32.VBS oraz LOVE-LETTER-FOR-YOU.TXT.VBS

Następnie tworzone są klucze auto-run:

  • HKLM\Software\Microsoft\Windows\CurrentVersion\
    Run\MSKernel32 = MSKERNEL32.VBS
  • HKLM\Software\Microsoft\Windows\CurrentVersion\
    RunServices\Win32DLL = Win32DLL.VBS

W rezultacie robak będzie uruchamiany wraz z każdym startem systemu operacyjnego.

Dodatkowo szkodnik tworzy w folderze systemowym Windows droppera HTM, który służy do rozsyłania zainfekowanych kopii za pośrednictwem kanałów IRC. Nazwa droppera to LOVE-LETTER-FOR-YOU.TXT.HTM.

Pobieranie konia trojańskiego

W celu zainstalowania w zainfekowanym systemie konia trojańskiego robak modyfikuje adres strony startowej przeglądarki Internet Explorer. Nowy adres wskazuje na specjalną stronę (wybieraną losowo z czterech możliwości), która zmusza przeglądarkę do pobrania pliku WIN-BUGSFIX.EXE zawierającego konia trojańskiego. Następnie robak tworzy dla pobranego pliku klucz auto-run:

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\WIN-BUGSFIX = WIN-BUGSFIX.exe

Podczas kolejnego uruchamiania systemu trojan przejmuje kontrolę i instaluje sie w folderze systemowym Windows z nazwą WINFAT32.EXE.

Po zakończeniu instalacji konia trojańskiego robak ustawia pustą stronę startową (about:blank).

Zainstalowany szkodnik jest trojanem kradnącym hasła.

Rozprzestrzenianie - kanały IRC

Robak skanuje lokalne napędy w poszykiwaniu plików:

MIRC32.EXE
MLINK32.EXE
MIRC.INI
SCRIPT.INI
MIRC.HLP

Jeżeli jeden z tych plików zostanie znaleziony w podfolderze robak umieszcza w nim nowy plik SCRIPT.INI. Zawiera instrukcje wysyłające kopię szkodnika (plik LOVE-LETTER-FOR-YOU.TXT.HTM) do wszystkich użytkowników łączących się z zainfekowanym kanałem IRC.

Plik SCRIPT.INI zawiera dodatkowo następujące teksty:

mIRC Script Please dont edit this script... mIRC will corrupt, if mIRC will corrupt... WINDOWS will affect and will not run correctly. thanks Khaled Mardam-Bey http://www.mirc.com

Po dotarciu do użytkownika kanału IRC zainfekowany plik HTML jest kopiowany do domyślnego foldera dla plików pobranych (skonfigurowanego w kliencie IRC). Aktywacja robaka może nastąpić wyłącznie wtedy, gdy użytkownik uruchomi pobrany plik. Z uwagi na to, że zabezpieczenia przeglądarki internetowej nie zezwalają skryptom na uzyskiwanie dostępu do plików na dysku wyświetlając odpowiednie ostrzeżenie, robak próbuje oszukać użytkownika. Najpierw wyświetla komunikat:

This HTML file need ActiveX Control
To Enable to read this HTML file
- Please press 'YES' button to Enable ActiveX

Gdy użytkownik kliknie przycisk YES robak uzyskuje dostęp do plików zapisanych na dysku i instaluje się w systemie - zapisuje w folderze systemowym Windows plik MSKERNEL32.VBS i tworzy dla niego klucz auto-run:

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\MSKernel32 = MSKERNEL32.VBS

Gdy użytkownik kliknie przycisk NO robak wyświetla ten sam komunikat. Zatem okienko to pojawiać się będzie, aż użytkownik kliknie przycisk YES.

Procedura destrukcyjna

Robak skanuje wszystkie dostępne napędy i w zależności od rozszerzeń znalezionych plików wykonuje następujące operacje:

  • VBS, VBE: robak nadpisuje te pliki własnym kodem;
  • JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG: robak tworzy na ich podstawie nowe pliki (dodając rozszerzenie .VBS) i usuwa oryginały;
  • MP2, MP3: jak wyżej lecz oryginalne pliki nie są usuwane - robak nadaje im atrybut "ukryty";

Modyfikacje robaka

Robak ma postać skryptu, dzięki czemu hakerzy mogą w bardzo prosty sposób tworzyć jego mutacje. Większość ze znanych mutacji posiada niewielkie zmiany - najczęściej ograniczają się one do innych treści wiadomości oraz nazw plików.

Poniżej przedstawiono wygląd zainfekowanych wiadomości e-mail wysyłanych przez różne wersje robaka LoveLetter (w porządku - TEMAT/TREŚĆ/NAZWA ZAŁĄCZNIKA). Pierwsza wiadomość wysyłana jest przez wersję oryginalną:

 Subject/body/attach name

 ILOVEYOU
   kindly check the attached LOVELETTER coming from me.
 LOVE-LETTER-FOR-YOU.TXT.vbs

 Mothers Day Order Confirmation
   We have proceeded to charge your 
   credit card for the amount of $326.92
   for the mothers day  diamond special. 
   We have attached a detailed
   invoice to this email. Please print 
   out the attachment and keep it in a
   safe place.Thanks Again and Have 
   a Happy Mothers Day!
   mothersday@subdimension.com
 mothersday.vbs

 fwd: Joke
   (pusta) - wiadomość nie zawiera żadnej treści
 Very Funny.vbs

 Susitikim shi vakara kavos puodukui...
   kindly check the attached LOVELETTER 
   coming from me.
 LOVE-LETTER-FOR-YOU.TXT.vbs

 Important ! Read carefully !!
   Check the attached IMPORTANT 
   coming from me !
 IMPORTANT.TXT.vbs

 Dangerous Virus Warning
   There is a dangerous virus circulating.
   Please click attached picture to view 
   it and learn to avoid it.
 virus_warning.jpg.vbs

 How to protect yourself from the IL0VEY0U bug!
   Here's the easy way to fix the love virus.
 Virus-Protection-Instructions.vbs

 Thank You For Flying With Arab Airlines
   Please check if the bill is correct, 
   by opening the attached file.
 ArabAir.TXT.vbs

 Bewerbung Kreolina
   Sehr geehrte Damen und Herren!
 BEWERBUNG.TXT.vbs

 LOOK!
   hehe...check this out.
 LOOK.vbs

 Variant Test
   This is a variant to the vbs virus.
 IMPORTANT.TXT.vbs

 Yeah, Yeah another time to DEATH...
   This is the Killer for VBS.LOVE-LETTER.WORM.
 Vir-Killer.vbs

 I Cant Believe This!!!
   I Cant Believe I Have Just Recieved 
   This Hate Email .. Take A Look!
 KillEmAll.TXT.vbs

 New Variation on LOVEBUG Update Anti-Virus!!
   There is now a newer variant of love bug. 
   It was released at 8:37 PM Saturday Night. 
   Please Download the fo llowing patch.
   We are trying to isolate the virus. 
   Thanks Symantec.
 antivirusupdate.vbs

 IMPORTANT: Official virus and bug fix
   This is an official virus and bug fix. 
   I got it from our system admin.
   It may take a short while to update 
   your system files after you run the
   attachment.
 Bug and virus fix.vbs

 Recent Virus Attacks-Fix
   Attached is a copy of a script that 
   will reverse the effect of
   the LOVE-LETTER-TO-YOU.TXT.vbs 
   as well as the FW:JOKE,
   Mother's Day and Lituanian Siblings.
 BAND-AID.DOC.vbs

 PresenteUOL
   O UOL tem um grande presente 
   para voce, e eh exclusivo.
   Veja o arquivo em anexo.
   http://www.uol.com.br
 UOL.TXT.vbs

 BUG & VIRUS FIX
   I got this from our system admin. 
   Run this to help pervent a ny recent or
   future bug & virus attack's. It may 
   take a small while up update your files.
 MAJOR BUG & VIRUS FIX.vbs

 FREE SEXSITE PASSWORDS
   cHECK IT OUT ; FREE SEX SITE PASSWORDS.
 FREE SEXSITE PASSWORDS.HTML.vbs

 You May Win $1,000,000! 1 Click Away
   kindly check the attached WIN coming from me.
 WIN.vbs

 Virus Warnings !!!
   VERY IMPORTANT PLEASE READ THIS TEXT.
   TEXT ATTACHMENT.
 very-important-txt.vbs

 HOW TO BEAT VIRUSES
   kindly check the attached VIRUS 
   INFORMATION coming from me.
   This is how you can be immune 
   to any virus. It really helps alot!
 HOW_TO_BEAT_VIRUSES.TXT.vbs

You must read this!
   Have you read this text? 
   You must do it!!
 C:\NOTES.TXT.exe

New virus discovered!
   A new virus has been discovered! 
   It's name is @-@Alha and Omega@-@.
   Full list of virus abilities is 
   included in attached file 
   @-@info.txt@-@. For the last 
   information go to McAfee's web page
   Please forward this mesage to 
   everyone you care about.
 info.txt.vbs

 Wish you were Here!
   Wish you were Here! 
   Im having a great time!
 Wish you were Here!.postcard.vbs