Analisi del worm I-Worm.LoveLetter (famiglia di virus)

(Future Time di Paolo Monti © 2000)

I-Worm.LoveLetter.A

I-Worm.LoveLetter è un nuovo Internet worm (particolari tipi di virus che si diffondono in network di computer) in formato VBScript (Visual Basic Script) per Windows Scripting Host (WSH) che si diffonde attraverso e-mail create con Microsoft Outlook.

Il worm funziona soltanto su sistemi Windows dove è presente WSH, che viene installato per default in Windows 98 e Windows 2000 o comunque in sistemi dove è stato installato Internet Explorer 5.x. Il worm è in grado di pilotare MS Outlook tramite MAPI (Messaging Application Programming Interface).

Il worm sembra provenire dalle Filippine, dal momento che nel sorgente è possibile leggere il seguente testo

I-Worm.LoveLetter ha effetti distruttivi per i dati. Dopo essere stato eseguito, il worm comincia una ricerca su tutti i drive locali e di rete, effettuando diverse operazioni sui file che hanno le seguenti estensioni:

VBE, VBS:
questi file vengono sovrascritti con il codice del worm

JS, JSE, CSS, WSH, SCT, HTA:
il worm crea un nuovo file avente lo stesso nome del file originale ma con estensione .VBS. Il file originale è cancellato.

JPG, JPEG:
il worm crea un nuovo file con estensione .VBS, aggiunta al nome e all'estensione del file originale (ad esempio un ipotetico file SAMPLE.JPG diventa SAMPLE.JPG.VBS). Nel nuovo file viene scritto il codice del worm. Il file originale è cancellato.

MP2, MP3:
viene creato un nuovo file nella modalità descritta per i file JPG e JPEG. Il file originale viene mantenuto, ma con l'attributo "nascosto" impostato.

MIRC32.EXE, MLINK32.EXE, SCRIPT.INI, MIRC.HLP, MIRC.INI:
se uno di questi file viene trovato, il worm crea il file SCRIPT.INI nella cartella dove risiedono tali file. Il worm inoltre crea anche alcune copie di se stesso nella cartella di sistema, usando i seguenti nomi di file: MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS.

I-Worm.LoveLetter imposta alcune chiavi nel Registro allo scopo di eseguire automaticamente i file VBS creati:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL

Diffusione tramite posta elettronica

Il worm invia copie di se stesso a tutti gli indirizzi trovati nella Rubrica di MS Outlook. E' importante sottolineare che il meccanismo di diffusione attraverso e-mail può funzionare soltanto se sul sistema è installato MS Outlook 98 o 2000. Il messaggio di posta elettronica creato dal worm si presenta in questo modo:

Oggetto: ILOVEYOU
Testo: kindly check the attached LOVELETTER coming from me.
Allegato: LOVE-LETTER-FOR-YOU.TXT.vbs (cioè il worm)

Il worm crea anche una sorta di HTML dropper nella cartella di sistema di Windows. Il dropper mostra sullo schermo il seguente messaggio:

This HTML file need ActiveX Control
To Enable to read this HTML file
- Please press 'YES' button to Enable ActiveX

Mostrato tale messaggio, il dropper crea il file MSKERNEL32.VBS contenente il codice del worm e ne imposta l'esecuzione automatica attraverso la creazione di un'apposita chiave nel Registro.

Altri effetti

I-Worm.LoveLetter testa la presenza del file WINFAT32.EXE nella cartella di sistema di Windows. Nel caso in cui il file non sia presente, il worm modifica una particolare chiave nel Registro che gli permette di impostare l'indirizzo della pagina iniziale mostrata all'avvio di Internet Explorer. Il nuovo indirizzo viene scelto a caso tra quattro possibili URL sul server www.skyinet.net. Tutti gli indirizzi puntano a un file WIN-BUGSFIX.EXE, che nelle intenzioni dell'autore del worm dovrebbe essere prelevato attraverso Internet Explorer e memorizzato nel percorso C:\, per poi essere eseguito al successivo avvio del sistema operativo attraverso un'altra chiave Run creata dal worm nel Registro. In realtà tale operazione non pare avere alcun esito, dal momento che il file WIN-BUGSFIX.EXE sembra essere stato rimosso da tutti gli indirizzi usati dal worm.

Secondo quanto riportato da Mikko Hypponen di F-Secure Corporation, il file WIN-BUGSFIX.EXE è un cavallo di troia in grado di rubare delle password. Al suo avvio, il trojan tenta di trovare una finestra nascosta di Windows con nome 'BAROK…'. Se la finestra risulta assente il trojan effettua un test sulla presenza della chiave WinFAT32 nel seguente percorso del Registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Se la chiave non esiste, il trojan la crea, copia se stesso nella cartella di sistema di Windows usando il nome WINFAT32.EXE e quindi scrive nuovamente nel Registro allo scopo di creare una nuova chiave che permetterà l'esecuzione del trojan ad ogni avvio di Windows. A questo punto il trojan imposta la pagina iniziale di Internet Explorer a "about:blank" (pagina vuota) e tenta di trovare e cancellare le seguenti chiavi nel Registro:

Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds Software\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching

Il trojan registra una nuova classe di finestre e ne crea una nascosta con il titolo impostato a 'BAROK…', quindi rimane residente nella memoria del sistema come applicazione non visibile. Subito dopo il suo avvio e nel momento in cui un contatore interno raggiunge un determinato valore, il trojan carica in memoria la libreria dinamica MPR.DLL, chiama la funzione WNetEnumCachedPasswords e invia le password trovate all'indirizzo mailme@super.net.ph. Il trojan usa il server 'smpt.super.net.ph' per spedire le e-mail. L'oggetto delle e-mail è 'BAROK…

I-Worm.LoveLetter.B

Questa nuova variante del worm cancella tutti i file INI e BAT, invece dei JPG e JPEG. Viene cambiato anche l'indirizzo dellla pagina iniziale alla quale punta Internet Explorer, in modo tale da non tentare più il prelievo del trojan WIN-BUGSFIX.EXE. Il messaggio di posta elettronica che contiene l'allegato infetto si presenta in questo modo:

Oggetto: Mothers Day Order Confirmation
Testo: We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com
Allegato: mothersday.vbs (cioè il worm)

I-Worm.LoveLetter.ß

Questa è una variante del I-Worm.LoveLetter che presenta solo lievi differenze rispetto all'originale. Il messaggio di posta elettronica che contiene l'allegato infetto si presenta in questo modo:

Oggetto: fwd: Joke
Testo: <nessuno> (il messaggio non presenta alcun testo)
Allegato: Very Funny.vbs (cioè il worm)