SYMBOLIC Antivirus Security Division
Parma, 4 Maggio 2000
PROBLEMA: VBS.LOVELETTER
PIATTAFORMA: MS Outlook
CONSEGUENZE: Perdita di file sul disco fisso, mass mailing
SOLUZIONE: Aggiornamento già disponibile
VBS.LoveLetter e' un virus/worm scritto in VBScript; agisce come un virus sovrascrivente, e' in grado di propagarsi tramite posta elettronica come un chain letter e utilizzando gli script di mIRC (programma per il chat).
In corso di esecuzione, localizza la directory di Windows e vi crea il seguente file
- Win32DLL.vbs
Inserisce inoltre i seguenti file in Windows\system
Al fine di assicurare l'esecuzione del proprio codice al successivo riavvio del sistema, LoveLetter effettua queste modifiche al registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL
Un altro effetto dell'infezione è il download automatico del file WIN-BUGSFIX.exe da un server Web su Internet; l'indirizzo e' scelto a caso tra quattro locazioni differenti, nessuna delle quali, pero', sembra al momento funzionante. Il file agisce come "dropper", cioé rilascia nel sistema una copia del virus al successivo riavvio del PC.
Inoltre, il virus/worm crea il file infetto "LOVE-LETTER-FOR-YOU.HTM" in Windows\System, pronto per essere spedito ai canali IRC se l'utente si connette usando mIRC.
L'effetto di propagazione piu' invasivo, pero', avviene tramite la posta elettronica. Il worm legge tutti gli indirizzi della rubrica di Outlook e spedisce loro un messaggio nel seguente formato:
Oggetto: ILOVEYOU
Messaggio: kindly check the attached LOVELETTER coming from me.
Allegato: LOVE-LETTER-FOR-YOU.TXT.vbs
Questa procedura avviene una volta sola; l'allegato contiene il codice infetto.
Per riprodursi localmente, il virus ricerca i file con estensione VBS e VBE
su tutti i dischi (locali e remoti) della macchina e li sovrascrive con il proprio
codice. Questi file non potranno essere disinfettati, ma andranno cancellati
(manualmente o con l'antivirus).
Utilizzando una tecnica simile a quella dei virus "companion", LoveLetter cancella
i file con estensione JS, JSE, CSS, WSH, SCT, HTA e crea dei nuovi file, infetti,
con lo stesso nome ma con estensione VBS.
I file JPG, JPEG, MP3 e MP2 vengono cancellati e rimpiazzati con nuovi file
infetti con l'estensione VBS: in questo caso, pero', il nome del nuovo file
avra' un formato simile a "nomefile.jpg.vbs"
LoveLetter e' stato probabilmente scritto nelle Filippine e rappresenta uno dei virus di piu' rapida diffusione degli ultimi mesi.
SYMBOLIC Antivirus Security Division
Fonte: http://www.symbolic.it/
Ultimo aggiornamento: 4 maggio 2000