ZaRohem.cz Pražské metro Test osobnosti CowParade 2004 Praha MHD v ČR
Blog ZaRohem 1.PCRevue.cz Vinárna Na roli (Petřvald) Restaurace Třebovická role kapela Terra Ignota

Reklama
Hlavní stránka
Aktuality
Software
Internet
Hardware
Seriály
Viry
Tipy a triky
Download
Konference
Napište nám
Reklama
Doporučujeme užitečný crm systém od CÍGLER SOFTWARE!
Reklama
Tip na výkonný Macbook Pro 2017. Pořiďte si rychlý notebook s dlouhou výdrží.
9. květen 2000 - Viry

Virus VBS.Loveletter.A - pohroma, která zachvátila svět

Koncem minulého týdne se objevil nový virus VBS.Loveletter.A známý též pod označením ILOVEYOU, který doslova otřásl uživateli Internetu. Podívejme se tedy na to, jakým způsobem se tento virus šíří a především jak se mu účinně bránit.

Popis viru

Jedná se o malý program napsaný ve VBScriptu (Visual Basic Script language), takže abyste mohli infikovat svůj počítač, musíte mít nainstalovaný Windows Scripting Host (ten se instaluje ve Windows 98 a 2000 automaticky, ostatní uživatelé si jej zpravidla nainstalovali společně s MS Internet Explorerem 5.0 nebo jiným novým produktem Microsoftu). První verze přicházela elektronickou poštou jako zpráva s předmětem ILOVEYOU, textem kindly check the attached LOVELETTER coming from me. a souborem LOVE-LETTER-FOR-YOU.TXT.vbs. Právě tento soubor je samotným virem a řada uživatelů bohužel přehlédla, že přípona souboru není jen TXT, jak se na první pohled zdá, ale vbs, tudíž nejde o obyčejný textový soubor, ale o spustitelný skript. Po jeho spuštění se virus zkopíruje pod několika názvy do následujících složek:

  • C:\WINDOWS\SYSTEM\MSKERNEL32.VBS
  • C:\WINDOWS\WIN32DLL.VBS
  • C:\WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS
Kromě toho přidá do registrů větve, které zajistí, aby byl aktivován při každém startu Windows:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run \MSKernel32= C:\WINDOWS\SYSTEM\MSKernel32.vbs
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\RunServices \Win32DLL=C:\WINDOWS\Win32DLL.vbs
Dále najde na místních i síťových discích všechny soubory JPG, JPEG, MP3 a MP2 uložené na pevném disku, přepíše je sebou samým, čímž je nenávratně zničí a přidá k jejich názvu příponu vbs (například soubor obrazek.jpg se po napadení virem bude jmenovat obrazek.jpg.vbs). Během několika vteřin tak máte ze sbírky grafických a zvukových souborů pouze soubory obsahující další kopie viru VBS.Loveletter.

Kromě výše zmíněných přepíše Loveletter svým kódem i následující typy souborů:

  • VBS a VBE (soubory VBScriptu)
  • JS a JSE (soubory JavaScriptu)
  • CSS (kaskádové styly)
  • WSH (soubory Windows Scripting Host)
  • SCT (komponenty Windows Scripting Host)
  • HTA
Přípony těchto souborů pak změní na VBS.

Dále Loveletter vytvoří soubor LOVE-LETTER-FOR-YOU.HTM, který obsahuje další kopii viru, upraví SCRIPT.INI programu mIRC (na začátek mimo jiné vloží komentář ;mIRC Script ; Please dont edit this script... mIRC will corrupt, if mIRC will corrupt... WINDOWS will affect and will not run correctly. thanks ; ;Khaled Mardam-Bey ;http://www.mirc.com) a zašle infikovaný soubor všem uživatelům, kteří jsou přes IRC připojeni na stejném kanále.

Aby toho nebylo málo, vytáhne si virus všechny adresy z adresáře MS Outlooku a rozešle se na ně, což je patrně nejčastější způsob šíření známý již od loňského roku, kdy světlo světa spatřila známá Melissa. Tato funkce funguje pouze s MS Outlookem verze 98 a 2000, nikoli však s MS Outlookem 97 nebo Outlook Expressem.

Kromě toho všeho navíc změní úvodní stránku MS Internet Exploreru takže se po spuštění tohoto browseru otevře jiná stránka, než na kterou jste zvyklí, z ní se stáhne a nainstaluje program WIN-BUGSFIX.EXE, což je trojský kůň, který odesílá elektronickou poštou na adresu MAILME@SUPER.NET.PH hesla z vašeho počítače. Tento program se také instaluje přes registry tak, že vytvoří klíč HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \WIN-BUGSFIX, který zajistí jeho spuštění při následujícím startu nebo restartu systému. Po jeho spuštění dojde ke zkopírování programu do C:\WINDOWS\SYSTEM\WinFAT32.EXE a upravení volání z registrů na HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \WinFAT32=WinFAT32.EXE. Úvodní stránku MS Internet Exploreru po úspěšné infiltraci trojského koně přestaví virus na about:blank.

Jak viru předcházet

První možností je odinstalace Windows Scripting Host, takže nebude možné spouštět žádné VBScripty. To provedete následujícím způsobem:

  1. Přejděte do Ovládacích panelů (Start-Nastavení-Ovládací panely).
  2. Otevřete ikonu Přidat nebo odebrat programy.
  3. Přejděte na kartu Instalace Windows.
  4. Označte položku Příslušenství a stiskněte tlačítko Podrobnosti.
  5. Najděte položku Windows Scripting Host a jestliže je zaškrtnutá, zrušte tuto volbu.
  6. Uzavřete nastavení tlačítkem OK, čímž dojde k odstranění této komponenty ze systému.
Samozřejmě je důležitá i opatrnost: pokud obdržíte e-mail s přílohou, důkladně se podívejte, zda tato příloha nemá příponu vbs. V případě, že se bude jednat o program napsaný ve VBScriptu, nikdy tuto přílohu neotvírejte, zprávu neprodleně smažte a informujte odesílatele o tom, že má infikovaný počítač.

Odstranění viru

Pokud jste se již tímto virem infikovali, existuje možnost jak jej dostat z počítače i bez pomoci antivirového programu.

  1. Uzavřete všechny spuštěné aplikace.
  2. Klávesovou kombinací Ctrl+Alt+Del vyvolejte seznam běžících úloh, najděte úlohu nazvanou wscript, označte jí myší a stiskněte tlačítko Ukončit úlohu.
  3. Smažte následující soubory:
    • C:\WINDOWS\SYSTEM\MSKERNEL32.VBS
    • C:\WINDOWS\WIN32DLL.VBS
    • C:\WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS
    • C:\WINDOWS\SYSTEM\WinFAT32.EXE
  4. Spusťte Editor registru (Start-Spustit-regedit) a odstraňte následující klíče:
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run \MSKernel32= C:\WINDOWS\SYSTEM\MSKernel32.vbs
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\RunServices \Win32DLL= C:\WINDOWS\Win32DLL.vbs
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run \WIN-BUGSFIX
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run \WinFAT32=WinFAT32.EXE
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
  5. Vyhledejte na pevném disku všechny soubory s příponou vbs a vbe a bez výjimky je smažte.
  6. Restartujte počítač.

Upozornění na závěr

Vzhledem k jednoduchosti modifikace tohoto typu virů se již během víkendu objevilo několik desítek mutací, které se liší jak názvem zasílaného souboru, tak i tím, jaké soubory poškozují. Pokud budete mít velkou smůlu a budete-li hodně neopatrní, můžete narazit i na variantu, která poškozuje například všechny dokumenty MS Office či třeba systémové soubory Windows, čímž zcela zneprovozní celý systém. Buďte proto velice ostražití!!!

Reklama
 
 
Aktuální články:
Reklama
Program eWay-CRM je praktické CRM řešení integrované přímo do Microsoft Outlooku.
 
 
Reklama
 
© 1.PC Revue.cz - všechna práva vyhrazena
ISSN: 1213-080X
© Karel Kilián ml.
Zásady ochrany osobních údajů
Reklama