![]() |
![]() |
|
Win32/LoveLetter.AHKLM\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32 HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL V adresáři C:\WINDOWS\SYSTEM pak vytvoří soubory MSKERNEL32.VBS a Win32DLL.VBS. Na pevných i síťových discích vyhledává soubory s příponou VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, jejichž obsah přepíše svým tělem a příponu změní na VBS. V případě souborů s příponou JPG či JPEG je vytvořena "dvojitá" přípona - původní + .VBS. Jediné soubory s příponou MP2 a MP3 o které se virus zajímá, zůstanou ušetřeny: červ totiž nejprve vytvoří kopie těchto souborů - ty pak následně přepíše vlastním tělem a vytvoří na nich "dvojitou" příponu (původní_název.MP3.VBS). Pokud neexistuje soubor C:\WINDOWS\WINFAT32.EXE, nastaví domovskou stránku Internet Exploreru tak, aby ze serveru http://www.skyinet.net stahoval soubor WIN-BUGSFIX.EXE. Tento soubor obsahuje další výtvor - trojského koně. Po aktivaci se tento trojan usadí právě do souboru WINFAT32.EXE a někam na Filipíny se snaží přes e-mail odesílat nakradená data (uživatelské jméno, IP, hesla atd.). Červ I_LOVE_YOU může dorazit i přes IRC... LoveLetter.ESubjekt: Dangerous Virus Warning,text zprávy: There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it., příloha: virus_warning.jpg.vbs. |
||
![]() |
![]() |