Email-Worm.VBS.LoveLetter.cf
Материал из Total Malware Info
Email-Worm.VBS.LoveLetter.cf Троянская программа-почтовый червь, выполняющая рассылку своего тела. Написана на Visual Basic Script. Имеет размер 7867 байт.
Инсталляция
При запуске червь производит копирование своего тела в файлы:
%System%\MSKernel32.vbs %WinDir%\Win32DLL.vbs %System%\LOVE-LETTER-FOR-YOU.TXT.vbs
Для автоматического запуска при следующем старте системы червь добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\] "MSKernel32" = "%System%\MSKernel32.vbs " [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\] "Win32DLL" = "%WinDir%\Win32DLL.vbs" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run\] "WIN-BUGSFIX" = "%DownloadDir%\WIN-BUGSFIX.exe"
Устанавливает в IE в качестве стартовой страницы одну из ссылок на закачку (ссылки не работают):
[HKCU\Software\Microsoft\Internet Explorer\Main\] "Start Page" = "http://www.s*****t.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/WIN-BUGSFIX.exe" [HKCU\Software\Microsoft\Internet Explorer\Main\] "Start Page" = "http://www.s*****t.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exe" [HKCU\Software\Microsoft\Internet Explorer\Main\] "Start Page" = "http://www.s*****t.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe" [HKCU\Software\Microsoft\Internet Explorer\Main\] "Start Page" = "http://www.s*****t.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe"
Деструктивная активность
Распаковывает Web-страницу %System%\LOVE-LETTER-FOR-YOU.HTM (12489 байт, Email-Worm.VBS.LoveLetter.cf) со своим телом и его запуском ее. Рассылает при помощи MS Outlook по его базе адресов письмо Тема: ILOVEYOU Тело: kindly check the attached LOVELETTER coming from me. Во вложении:
%System%\LOVE-LETTER-FOR-YOU.TXT.vbs
Далее червь запускает поиск файлов на жестком диске. Файлы с расширениями "vbs", "vbe" перезаписывает своим телом. Файлы с расширениями "js", "jse", "css", "wsh", "sct", "hta", "jpg", "jpeg" удаляет, а на их месте под тем же именем но с расширением "vbs" создает файл и копирует в него свое тело. Рядом с файлами с расширениями "mp3", "mp2" под тем же именем но с расширением "vbs" создает файл и копирует в него свое тело. Если в какой-либо папке обнаруживается один из следующих файлов ("mirc32.exe", "mlink32.exe", "mirc.ini", "script.ini", "mirc.hlp"), то в папку распаковывается mIRC-скрипт (файл script.ini, 332 байт, Email-Worm.VBS.LoveLetter), рассылающий файл %System%\LOVE-LETTER-FOR-YOU.HTM всем подключающимся к каналу пользователям.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер), а также файлы
%System%\MSKernel32.vbs %WinDir%\Win32DLL.vbs %System%\LOVE-LETTER-FOR-YOU.TXT.vbs %System%\LOVE-LETTER-FOR-YOU.HTM script.ini
Удалить ключи системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\] "MSKernel32" = "%System%\MSKernel32.vbs " [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\] "Win32DLL" = "%WinDir%\Win32DLL.vbs" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run\] "WIN-BUGSFIX" = "%DownloadDir%\WIN-BUGSFIX.exe" [HKCU\Software\Microsoft\Internet Explorer\Main\] "Start Page" = "http://www.s*****t.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/WIN-BUGSFIX.exe" [HKCU\Software\Microsoft\Internet Explorer\Main\] "Start Page" = "http://www.s*****t.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exe" [HKCU\Software\Microsoft\Internet Explorer\Main\] "Start Page" = "http://www.s*****t.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe" [HKCU\Software\Microsoft\Internet Explorer\Main\] "Start Page" = "http://www.s*****t.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe"
