Email-Worm.VBS.LoveLetter.df

Материал из Total Malware Info

Email-Worm.VBS.LoveLetter.df Троянская программа-почтовый червь, выполняющая рассылку своего тела. Написана на Visual Basic Script. Имеет размер 14616 байт.

Инсталляция

При запуске червь производит копирование своего тела в файлы:

%WinDir%\Winboot.vbs
%Temp%\Altavista.vbs
%System%\Sysconfig.vbs
%System%\Wincolor.vbs
%Temp%\yahoo.com.vbs
%WinDir%\User.vbs
%System%\Color\Colorchoice.vbs
%WinDir%\Win.com.vbs
%WinDir%\Java\Userconfig.vbs
%WinDir%\Winstarter.vbs
%Temp%\Avisgalore.vbs
%System%\Userconfig.vbs
%System%\Extracolor.vbs
%WinDir%\Desktop\GhostDog@EveryMail.net
%WinDir%\Desktop\I hate.YOU

Для запуска при старте системы червь устанавливает следующие ключи реестра автозапуска:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
"Winboot" = %WinDir%\Winboot.vbs
"Cookiesave" = %Temp%\Altavista.vbs
"Sysconfig" = %System%\Sysconfig.vbs
"Wincolor" = %System%\Wincolor.vbs
"Cookieload" = %Temp%\yahoo.com.vbs
"User32.exe" = %Windir%\User.vbs
"Color-Choice" = %System%\Color\Colorchoice.vbs
"Windows Interpreter Commands" = %WinDir%\Win.com.vbs
"JAVA" = %WinDir%\Java\Userconfig.vbs

Деструктивная активность

Изменяет настройки Internet Explorer, меняя стартовую страницу, заголовок окна, настройки интерфейса и прокси-сервера, а также настройки безопасности и интерфейса:

• Изменяет домашнюю страницу Internet Explorer:

[HKCU\Software\Microsoft\Internet Explorer\Main\]
"Start Page" = "http://www.avp.ch"

• Изменяет заголовок окна Internet Explorer:

[HKCU\Software\Microsoft\Internet Explorer\Main\]
"Window Title" = "(c) by GhostDog !!!"

• Включает печать фоновых рисунков при печати Web-страницы из Internet Explorer:

[HKCU\Software\Microsoft\Internet Explorer\Main\]
"Print_Background" = "yes"

• Включает полноэкранный режим Internet Explorer:

[HKCU\Software\Microsoft\Internet Explorer\Main\]
"FullScreen" = "yes"

• Включает в Internet Explorer отображение диалоговых окон при ошибках в скриптах на Web-страницах:

[HKCU\Software\Microsoft\Internet Explorer\Main\]
"Error Dlg Displayed On Every Error" = "yes"
[HKCU\Software\Microsoft\Internet Explorer\Main\]
"Show_ChannelBand" = "yes"

• Запрещает показ анимации на Web-страницах:

[HKCU\Software\Microsoft\Internet Explorer\Main\]
"Play_Animations" = "no"

• Запрещает показ анимации на строки состояния:

[HKCU\Software\Microsoft\Internet Explorer\Main\]
"Show_StatusBar" = "no"

• Запрещает отбражение подробной информации об ошибках:

[HKCU\Software\Microsoft\Internet Explorer\Main\]
"Friendly http errors" = "no"

• Устанавливает в качестве прокси-сервара следующий адрес:

[HKCC\Software\Microsoft\windows\CurrentVersion\Internet Settings\]
"ProxyServer" = "chekov.maestro.da.ru:6667"

• Сбрасывает настройки безопасности на минимум:

[HKCU\Software\Microsoft\Internet Explorer\Settings\]
"Use Anchor Hover Color" = "yes"
"Sending_Security" = "Low"
"Viewing_Security" = "Low"
"Safety Warning Level" = "Deactivated"

• Запрещает использование FTP по HTTP-протоколу:

[HKCU\Software\Microsoft\Ftp\]
"Use Web Based FTP" = "no"

• Изменяет названия зон доверия на вкладке Безопасность:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\]
"DisplayName" = "Get ur ass ot of here"
"Icon","user.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\]
"DisplayName" = "AVP Self Killing"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\]
"DisplayName" = "Horny Sites"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\]
"DisplayName" = "NAV Destruktions Library"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\]
"DisplayName" = "Looser Site"

• Изменяет регистрационную информацию Windows:

[HKLM\Software\Micorosft\Windows\CurrentVersion\]
"ProductId" = "EveryMail.net !"
"RegisteredOwner" = "a nice Guy"
"RegisteredOrganization" = "H4F has taken over!"

• И настройки входа в систему: «Автоматический вход под учетной записью администратора», «Не отображать имя последнего входившего в систему пользователя». При загрузке системы будет отображаться диалоговое окно:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\]
"AutoAdminLogon" = "1"
"DontDisplayLastUserName" = "0"
"LegalNoticeCaption" = "FUCK YOU!"
"LegalNoticeText" = "Welcome on this Virus-Infected-Station!"

�

• Добавляет в Установку/удаление программ пункты меню:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KILL THE VIRUS\]
"DisplayName" = "_-=KILL THE VIRUS=-_"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KILL THE VIRUS2\]
"DisplayName" = "_-=YOU ARE STUPID=-_"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KILL THE VIRUS3\]
"DisplayName" = "_-=HA HA ! LOOSER!!=-_"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KILL THE VIRUS4\]
"DisplayName" = "_-=HA HA ! LAMER !!=-_"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KILL THE VIRUS5\]
"DisplayName" = "_-=OH WHATS THAT?=-_"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KILL THE VIRUS6\]
"DisplayName" = "_-=ONLY LITTLE FILL UP!=-_"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KILL THE VIRUS7\]
"DisplayName" = "_-=AH I SEE.. STUPID USER!=-_"

• Ассоциирует с расширениями файлов не предназначенные для их открытия программы:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Extensions\]
".txt" = "mspaint.exe^.bmp"
".bmp" = "notepad.exe^.txt"
".doc" = "notepad.exe^.doc"

• Изменяет интерфейс и настройки Windows: ставит на рабочий стол обои безопасного режима, папкой «Избранное» устанавливает «Мои документы», папкой «Мои документы» - папку временных файлов, папкой кеша – «Рабочий стол», вместо надписи «Корзина» устанавливает «GhostDog..», меняет MIME-типы файлов *.gif и *.bat:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\NOHIDDEN\]
"Text" = "Hide files"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\]
"Text" = "all files"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\HideFileExt\]
"dext" = "sorry, my German not so good -->Dateinamenerweiterung bei bekannten Dateitypen nicht ausblenden"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\AlwaysUnloadDLL\]
"(Standard)" = "0"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\User Shell Folders\]
"Favorites" = "C:\My Documents"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\User Shell Folders\]
"Personal" = "C:\Windows\Temp"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Content\]
"CachePath" = "C:\WINDOWS\DESKTOP"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Cookies\]
"CachePath" = "C:\WINDOWS\DESKTOP"
[HKCU \Software\Microsoft\Internet Explorer\Desktop\General\]
"Wallpaper" = "C:\WINDOWS\Web\SafeMode.htt"
[HKCU \Software\Microsoft\Internet Explorer\Desktop\General\]
"BackupWallpaper" = "C:\WINDOWS\Web\SafeMode.htt"
[HKCR\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\]
"(Standard)" = "GhostDog.."
[HKCR\.gif\]
"Content Type" = "Image/bmp"
[HKCR\.bat\]
"(Standard)" = "comfile"

Рассылает при помощи MS Outlook по его базе адресов письмо с вложением файла: %WinDir%\Win.com.vbs Возможные варианты темы письма:

"Windows Update"
"Hy!!!!"
"Homepage = www.avp.ch"
"Wutz up?"
"VUE Testing Software "
"Virus News:"
"Hy Babe!"
"DirectX 8"
"Greets!"
"Ups..?!"
"Forgott something to tell you.."
"HMM?!?!"
"Lets have FUN!"
"Anti Virus Info! READ!!"
"INTERNET-PROVIDER-PROBLEMS"

Возможные варианты тела письма:

"See the attached File for more info about the update. Its an ANTI VIRUS TOOL. For FREE!!"
"I havent heard soo long nothing from you... write me something! Got a cute littel present as attached file for you!"
" yeah a great A-Virus Homepage!! READ ATTACHMENT FOR A FREE GIFT AND AN FREE ANTI VIRUS CHECK!!!"
"Whats going on @ your home? Tell me something new or read this cool attached file"
"You miss our VUE Testing Software ??? Then see attached file for more info"
" A new Virus is going around, See the attached File for more info and an Free Anti Virus update"
"Have you also seen this File allready? (Attachment) Its really funny.. try it and tell me whats happening."
" No joke.. see attached file .. its a nice prog from Microsoft.. DirectX 8 or something like that"
" HY! ... FILE --> CLICK!.. :-))))"
"?????? ---> FILE --> CLICK! ---> :-)))))"
"Attached file, look at it .. its my newest Programm"
"HAPPY BIRTHSDAY!!! Look at the Programm I made for you.. its the attached file!"
"If you want to see me naked look at the File whats attached ;O)"

Далее червь запускает поиск файлов на жестких и сетевых дисках. Файлы с расширениями "vbs", "vbe" перезаписывает своим телом. Файлы с расширениями "js", "jse", "css", "wsh", "sct", "hta", "jpg", "jpeg", "zip", "rar" удаляет, а на их месте под тем же именем но с расширением "vbs" создает файл и копирует в него свое тело. Рядом с файлами с расширениями "mp3", "mp2", "doc", "xls", "ppt", "gif" под тем же именем но с расширением "vbs" создает файл и копирует в него свое тело.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер), а также файлы

%WinDir%\Winboot.vbs
%Temp%\Altavista.vbs
%System%\Sysconfig.vbs
%System%\Wincolor.vbs
%Temp%\yahoo.com.vbs
%WinDir%\User.vbs
%System%\Color\Colorchoice.vbs
%WinDir%\Win.com.vbs
%WinDir%\Java\Userconfig.vbs
%WinDir%\Winstarter.vbs
%Temp%\Avisgalore.vbs
%System%\Userconfig.vbs
%System%\Extracolor.vbs
%WinDir%\Desktop\GhostDog@EveryMail.net
%WinDir%\Desktop\I hate.YOU

Удалить ключи системного реестра (как работать с реестром?):

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KILL THE VIRUS\]
"DisplayName" = "_-=KILL THE VIRUS=-_"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KILL THE VIRUS2\]
"DisplayName" = "_-=YOU ARE STUPID=-_"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KILL THE VIRUS3\]
"DisplayName" = "_-=HA HA ! LOOSER!!=-_"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KILL THE VIRUS4\]
"DisplayName" = "_-=HA HA ! LAMER !!=-_"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KILL THE VIRUS5\]
"DisplayName" = "_-=OH WHATS THAT?=-_"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KILL THE VIRUS6\]
"DisplayName" = "_-=ONLY LITTLE FILL UP!=-_"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KILL THE VIRUS7\]
"DisplayName" = "_-=AH I SEE.. STUPID USER!=-_"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
"Winboot" = %WinDir%\Winboot.vbs
"Cookiesave" = %Temp%\Altavista.vbs
"Sysconfig" = %System%\Sysconfig.vbs
"Wincolor" = %System%\Wincolor.vbs
"Cookieload" = %Temp%\yahoo.com.vbs
"User32.exe" = %Windir%\User.vbs
"Color-Choice" = %System%\Color\Colorchoice.vbs
"Windows Interpreter Commands" = %WinDir%\Win.com.vbs
"JAVA" = %WinDir%\Java\Userconfig.vbs

1. Установить исходные значения (зависят от конкретной системы) в ключах реестра (как работать с реестром?):

[HKCU\Software\Microsoft\Internet Explorer\Main\]
"Start Page" = "http://www.avp.ch"
"Window Title" = "(c) by GhostDog !!!"
"Print_Background" = "yes"
"FullScreen","yes"
"Error Dlg Displayed On Every Error" = "yes"
"Show_ChannelBand" = "yes"
"Play_Animations" = "no"
"Show_StatusBar" = "no"
"Friendly http errors" = "no"

[HKCC\Software\Microsoft\windows\CurrentVersion\Internet Settings\]
"ProxyServer" = "chekov.maestro.da.ru:6667"

[HKCU\Software\Microsoft\Internet Explorer\Settings\]
"Use Anchor Hover Color" = "yes"
"Sending_Security" = "Low"
"Viewing_Security" = "Low"
"Safety Warning Level" = "Deactivated"

[HKCU\Software\Microsoft\Ftp\]
"Use Web Based FTP" = "no"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\]
"DisplayName" = "Get ur ass ot of here"
"Icon","user.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\]
"DisplayName" = "AVP Self Killing"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\]
"DisplayName" = "Horny Sites"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\]
"DisplayName" = "NAV Destruktions Library"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\]
"DisplayName" = "Looser Site"
[HKLM\Software\Micorosft\Windows\CurrentVersion\]
"ProductId" = "EveryMail.net !"
"RegisteredOwner" = "a nice Guy"
"RegisteredOrganization" = "H4F has taken over!"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\]
"AutoAdminLogon" = "1"
"DontDisplayLastUserName" = "0"
"LegalNoticeCaption" = "FUCK YOU!"
"LegalNoticeText" = "Welcome on this Virus-Infected-Station!"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Extensions\]
".txt" = "mspaint.exe^.bmp"
".bmp" = "notepad.exe^.txt"
".doc" = "notepad.exe^.doc"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\NOHIDDEN\]
"Text" = "Hide files"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\]
"Text" = "all files"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\HideFileExt\]
"dext" = "sorry, my German not so good -->Dateinamenerweiterung bei bekannten Dateitypen nicht ausblenden"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\AlwaysUnloadDLL\]
"(Standard)" = "0"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\User Shell Folders\]
"Favorites" = "C:\My Documents"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\User Shell Folders\]
"Personal" = "C:\Windows\Temp"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Content\]
"CachePath" = "C:\WINDOWS\DESKTOP"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Cookies\]
"CachePath" = "C:\WINDOWS\DESKTOP"
[HKCU \Software\Microsoft\Internet Explorer\Desktop\General\]
"Wallpaper" = "C:\WINDOWS\Web\SafeMode.htt"
[HKCU \Software\Microsoft\Internet Explorer\Desktop\General\]
"BackupWallpaper" = "C:\WINDOWS\Web\SafeMode.htt"
[HKCR\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\]
"(Standard)" = "GhostDog.."
[HKCR\.gif\]
"Content Type" = "Image/bmp"
[HKCR\.bat\]
"(Standard)" = "comfile"