Ultimo aggiornamento: 27 Ottobre 2000 ore 18:20
I vari nomi assegnati a questo virus (Aliases): I-Worm.Loveletter, IRC/Loveletter, Love Bug, LOVE-LETTER-FOR-YOU.TXT.vbs, Loveletter, Troj/LoveLet-A, VBS.Loveletter.a,VBS.Loveletter.o, VBS/LoveLet-A, VBS/LoveLet-B, VBS/LoveLet-C, VBS/LoveLet-E, VBS_LoveLetter, veryfunny.vbs
Il virus, anche se sarebbe più corretto chiamarlo Worm, si riproduce
in modo simile al famoso Melissa.
Melissa si limitava a 50 indirizzi, LoveLetter no. Manda se stesso a tutti gli
indirizzi e-mail che saranno presenti nella rubrica di Outlook del PC infettato.
Si spera che la gente sia più avveduta dopo quanto accaduto con Melissa,
ma non sembra che sia così. Di provenienza filippina, così almeno
ha scritto il suo autore nelle prime tre righe del codice del virus:
rem barok -loveletter(vbe) <i hate go to school> rem by: spyder / ispyder@mail.com
/ @GRAMMERSoft Group / Manila,Philippines ), nulla per adesso si sa del
suo autore.
Questo virus non è diverso da molti altri che già circolano, e nemmeno è fra i più pericolosi. Se ne sta parlando molto soprattutto perché si sta diffondendo molto rapidamente (grazie al tris utente sprovveduto-Windows-Outlook) ed anche perché un virus che arriva con un "I LOVE YOU" fa molto pettegolezzo.
il virus rinomina i files presenti sul disco con le seguenti estensioni: mp3,
jpeg, vpos, js, jse, css, wsh, sct, hta aggiungendoci l'estensione .vbs. I files
non sono semplicemente rinominati, ma vengono del tutto sovrascritti assumendo
dimensione di 11 Kb. Questo vale per tutti i files con estensione sopracitata
ma non per gli MP3, che vengono solamente nascosti. I files colpiti non sono
perciò recuperabili, non resta che cancellarli.
Poi il virus tenta di diffondersi anche via IRC se sul computer è installato
mIRC, un noto client per Internet Relay Chat e si collega ad alcuni siti Web
per scaricare del codice che permetterà a "qualcuno" di accedere
poi al PC della vittima. Sembra che però questi server su cui risiedono
i siti siano giù (non attivi) e dunque npon c'è questo pericolo,
almeno per adesso.
Arriva con una mail con testo:
kindly check the attached LOVELETTER coming from me.
il nome dell'allegato è "LOVE-LETTER-FOR-YOU.TXT.vbs."
Perché la doppia estensione? Perché Windows di default non fa
visualizzare l'estensione dei files, dunque chi non ha provveduto a corregere
quell'impostazione vedrà un file con estensione TXT, pensando che sia
un innocuo file di testo lo eseguirà cliccandoci sopra due volte.
Una volta cliccato il worm si replica e aggiunge molti files al computer.
Quando uno sprovveduto utente di Outlook riceve la mail subito clicca due volte
sull'attachment per eseguirlo, non curante delle benché minime precauzioni,
ed il virus inizia a far danni.
Vengono mandate copie del virus a tutti i nominativi presenti nella rubrica
di Outlook.
Il virus all'inizio appariva in e-mail con soggetto "ILOVEYOU", una delle varianti ha invece come soggetto "Joke", un'altra "Susitikim shi vakara kavos puodukui..." ma ha lo stesso allegato di ILOVEYOU.
Varianti
| Nome | Tipo | Sottotipo | Differenze |
|---|---|---|---|
| VBS/Loveletter.b | Virus | VbScript | Subject="Susitikim shi vakara kavos puodukui..." |
| VBS/Loveletter.c | Virus | VbScript | Subject="FW: Joke", Files="Very Funny.vbs","Very Funny.HTM" |
| VBS/Loveletter.d | Virus | VbScript | Extra " -" (poiché l'editor è corrotto non si diffonde) |
La Microsoft ha già detto che non prevede di rilasciare una patch o un
avviso ai suoi utenti, raccomanda solo di seguire tutte le regole per la sicurezza
come quella di non fidarsi delle mail strane.
Proteggersi è semplice. Non si deve eseguire il file allegato alla mail.
Se si riceve la mail non si viene infettati. Aprire una mail non causa infezione,
a meno che il programma non sia impostato per eseguire gli allegati in automatico.
Il danno avviene solo quando si clicca due volte sul file.Per maggiore sicurezza
impostate Outlook in modo che non apra il messaggio automaticamente: vai su
visualizza>visualizzazione corrente> e imposta "messaggi" e non "messaggi con
anteprima automatica".
Computer Associates sta offrendo dowloads gratuiti di software antivirus per uso personale: http://antivirus.ca.com
(Fonte: post di Lone Gunman e *StarMax* su it.comp.sicurezza.virus)
Per chi l'avesse preso, il virus è uno script VisualBasic
1) Chiudere il client e-mail se aperto
2) Cancellare tutte le code Fax e Mail con argomento "ILOVEYOU"
3) Sulla macchina in cui si è mandato in esecuzione l'allegato al messaggio, attivare
il task manager di Windows premendo in contemporanea i tasti CTRL-ALT-CANC,
controllare sulla lista dei programmi in esecuzione, se esiste un programma
dal nome "WSCRIPT", selezionarlo e premere sul pulsante "TERMINA OPERAZIONE",
e confermare all'apertura della finestra di conferma, in questo modo fermerete
l'esecuzione del virus,
4) Il virus nel frattempo ha modificato il sistema operativo, percui premere
sul menu di avvio il pulsante "START" o "AVVIO" e selezionare la funzione "TROVA
- File o Cartelle" e cercate su tutti i dischi rigidi del PC i file .vbs (*.VBS).
Una volta terminata la ricerca, selezionare tutti i file della lista con quella
estensione , della grandezza di 11K e con data eguale a quella del momento in
cui avete cliccato sull'allegato incriminato e CANCELLATELI.
5) Dovreste trovare tre script .VBS: Win32DLL.VBS, MSKernel32.VBS e LOVE-LETTER-FOR-YOU.txt.vbs
; cancellate questi files
6) Cercate su tutti i dischi rigidi del PC i file " LOVE*.HTML " una volta terminata
la ricerca, selezionare tutti i file della lista con quella estensione , e CANCELLATELI.
7) Cancellare tutti i messaggi con l'allegato "ILOVEYOU" anche dal cestino della
posta e dal cestino del sistema operativo.
8) Riavviare il PC in modalità prompt di MS-DOS.
9) eseguite SCANREG /RESTORE; vi verrà evidenziata una lista di copie del registro
di configurazioen di sistema
10) Scegliete una copia del registro ANTECEDENTE la data in cui il virus ha
infettato il PC quindi scegliete RESTORE
11) Il pc ricarica il registro di configurazione e si riavvia. L'operatività
torna normale.
12) Avvertire a chi avete malauguratamente spedito mess e fax dell'accaduto
e replicateli questo messaggio onde non diffondere ulteriormente il virus.
In questo modo almeno avrete fermato la spedizione dei messaggi, anche se le
modifiche che il virus effettua, sono a livello di registro del Windows con
l'utility regclean dovrebbe togliere le chiavi che si riferiscono ai .VBS cancellati.
Assicurati di aver pulito il PC dal virus. Dopo recuperare i files è
semplice: clicca due volte sulla cartella che contiene i files, una volta che
è aperta, via sul menù Visualizza e Vai ad Opzioni Cartella, quindi
Visualizza, su File nascosti spunta (attiva) "Mostra tutti i files"
e già che ci sei ontrolla che "Nascondi le estensioni dei file per
i tipti di file conosciuti" NON sia spuntato (casellina vuota). Questo
renderà visibili i files nascosti, inclusi gli MP3, così puoi
reimpostarli a normali. Per farlo clicca col tasto destro su un file MP3, si
aprirà un menù. A questo punto clicca col tasto sinistro su Proprietà
e poi disattiva "Nascosto" (togli il segno di spunta cliccandoci sopra).
Questo farà sì che il file sia tornato nello stato in cui era
prima dell'azione del virus.
Se tutti i files sono nella stessa cartella puoi evitare di correggerli uno
ad uno: apri la cartella, sul menù Modifica clicca su "Seleziona
tutto", tutti i files saranno selezionati, poi vai su un file qualsiasi
e cliccaci sopra una volta con il tasto destro. Ciò che devi fare è
quanto detto di sopra, solo che invece di un singolo file li modificherai tutti
insieme.
Per chi preferisce è anche possibile, e veloce, operare da DOS, basta
usare il comando "attrib -h *.*" per la cartella che contiene tutti
i files MP3 nascosti dal virus.
Il recupero degli altri files invece sembra improbabile, forse si può fare con un programma di recupero file a basso livello, tipo rec4all, ma se il Virus riscrive sui cluster allora non c'è nulla da fare.
In Inglese:
Informazioni aggiornate sul virus - http://www.cert.org/advisories/CA-2000-04.html
Cosa fa e come rimuoverlo - http://www.securityfocus.com/news/30
Come disabilitare il Windows Scripting Host - http://www.sophos.com/support/faqs/wsh.html
Disabilitare Active Scripting in Explorer - http://www.cert.org/tech_tips/malicious_code_FAQ.html#steps
Ultimo aggiornamento: 27 Ottobre 2000