Win32/LoveLetter.A

╚erv I_LOVE_YOU (LoveLetter) se Üφ°φ v e-mailech, ke kter²m se p°ipojuje ve form∞ souboru LOVE-LETTER-FOR-YOU.TXT.VBS (kolem 10 KB). Subjekt "infikovanΘ" e-mailovΘ zprßvy znφ: "ILOVEYOU". V t∞le zprßvy je obsa₧en text: "kindly check the attached LOVELETTER coming from me.". "Dvojitß" p°φpona u souboru mß za nßsledek, ₧e v n∞kter²ch klientech ji₧ neni Φßst za druhou teΦkou viditelnß. Takov² soubor se pak tvß°φ jako obyΦejn² textov² soubor (TXT), ve skuteΦnosti vÜak obsahuje "zr∙dnost" I_LOVE_YOU. Pro Üφ°enφ pot°ebuje program MS Outlook (odtud bere e-mailovΘ adresy dalÜφch ob∞tφ, na kterΘ se automaticky rozeÜle) a nainstalovanou podporu WSH - Windows Scripting Host (aby bylo mo₧nΘ pou₧φvat VBS). Po spuÜt∞nφ souboru LOVE-LETTER-FOR-YOU.TXT.VBS se Φerv "usadφ" v systΘmu. Vytvo°φ novΘ klφΦe v registrech:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL

V adresß°i C:\WINDOWS\SYSTEM pak vytvo°φ soubory MSKERNEL32.VBS a Win32DLL.VBS. Na pevn²ch i sφ¥ov²ch discφch vyhledßvß soubory s p°φponou VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, jejich₧ obsah p°epφÜe sv²m t∞lem a p°φponu zm∞nφ na VBS. V p°φpad∞ soubor∙ s p°φponou JPG Φi JPEG je vytvo°ena "dvojitß" p°φpona - p∙vodnφ + .VBS. JedinΘ soubory s p°φponou MP2 a MP3 o kterΘ se virus zajφmß, z∙stanou uÜet°eny: Φerv toti₧ nejprve vytvo°φ kopie t∞chto soubor∙ - ty pak nßsledn∞ p°epφÜe vlastnφm t∞lem a vytvo°φ na nich "dvojitou" p°φponu (p∙vodnφ_nßzev.MP3.VBS). Pokud neexistuje soubor C:\WINDOWS\WINFAT32.EXE, nastavφ domovskou strßnku Internet Exploreru tak, aby ze serveru http://www.skyinet.net stahoval soubor WIN-BUGSFIX.EXE. Tento soubor obsahuje dalÜφ v²tvor - trojskΘho kon∞. Po aktivaci se tento trojan usadφ prßv∞ do souboru WINFAT32.EXE a n∞kam na Filipφny se sna₧φ p°es e-mail odesφlat nakradenß data (u₧ivatelskΘ jmΘno, IP, hesla atd.). ╚erv I_LOVE_YOU m∙₧e dorazit i p°es IRC...

LoveLetter.E

Subjekt: Dangerous Virus Warning,
text zprßvy: There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it.,
p°φloha: virus_warning.jpg.vbs.

Jedno·Φelov² antivirus:

Win32/LoveLetter
  • Popis/pou₧itφ: Z Windows: FIXLOVE.EXE /AUTO

    		•

    N∞kolik dobr²ch rad:

    P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

    Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

    Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

    Postup pro Windows ME:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).
  • P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).
  • Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).
  • VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

    Postup pro Windows XP:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).
  • Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.
  • Potvr∩te, Windows provede restart.