|
|
Naktī
no 3. uz 4. maiju datorkompānijas sāka saņemt ziņojumus par līdz šim nezināma
datorvīrusa nedarbiem. 9.00 no rīta vīruss jau bija inficējis vairāk nekā miljonu
datoru un sāka izplatīties jau aiz Eiropas robežas. Tūkstošos datoru bija
sabojātas fotogrāfijas, mūzika, dokumenti, programmas un web lappuses. Antivīrusu
kompānijas, kā vienmēr, reaģēja zibenīgi. Kompānija Symantec jau 2.00 naktī sāka
strādāt pie antivīrusa izstrādes. Jau 4. maija rītā bija pieejams antivīruss. Visi
masu mediji ziņoja par, tā saucamo, "I Love You" vīrusu. Aptuveni aprēķini
rāda, ka šis vīruss varētu būt izraisījis aptuveni vienu biljonu dolāru lielus
zaudējumus.
Šis datorvīruss
noteikti ieies vēsturē, jo līdz šim par visātrāk izplatījušos vīrusu tika
uzskatīts Melissa un par destruktīvāko Win95.CIH Černobiļas datorvīruss, bet
"I Love You" vīruss apvieno sevī abus šos draudus vispārākajā pakāpē.
Šis vīruss tiek
klasificēts kā e-pasta tārps. Tas izplatās, izmantojot
programmas Microsft Outlook, adrešu grāmatu un IRC programmu mIRC.
Ja jūs saņemat
vēstuli ar temata līniju (subject) "ILOVEYOU", "Susitikim shi vakara
kavos puodukui...", "fwd: Joke", "Mothers Day Order
Confirmation", "Dangerous Virus Warning", "Virus ALERT!!!",
"Important! Read carefully!!", "How to protect yourself from the IL0VEY0U
bug!", "I Cant Believe This!!!", "Thank You For Flying With Arab
Airlines", būtu ieteicams šo vēstuli nevērt vaļā un tūlīt pat izdzēst. Ja
tomēr jums šķiet, ka temata līnija atspoguļo vēstules patieso saturu, pārbaudiet,
vai vēstulei nav pielikuma (attachment). Līdz šim visām zināmajām vīrusa versijām
pielikumā ir kāds fails ar paplašinājumu .vbs.
Vīruss sāk darboties,
tiklīdz tiek atvērts .vbs fails, kas nāk vēstules pielikumā. VBS (visual basic script
) fails satur nelielu kodu, kas tiek izpildīts, kad to atver. Vispirms vīruss sevi
iekopē Windows direktorijā kā Win32dll.vbs, Windows System direktorijā kā
MSKernel32.vbs un Love-letter-for-you.txt.vbs. Tad tas pārbauda, vai Windows direktorijā
ir fails Winfat32.exe. Ja faila tur nav, tad vīruss izmaina interneta pārlūkprogrammas
Internet Explorer sākuma lapu uz kādu web lapu, no kuras cenšas lejuplādēt failu
Win-bugsfix.exe. Ja tas izdodas, vīruss Windows reģistratūrā pievieno atslēgu
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX. Šī atslēga izpilda
Win-bugsfix.exe līdz ar datora startēšanu. Internet Explorer sākuma lapas vietā tiek
ielikta tukša lapa. Vīruss arī meklē failus ar paplašinājumiem .vbs,
.vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .wav, .txt, .gif, .doc, .htm, .html,
.xls, .ini, .bat, .com, .mp3, and .mp2. Kad vīruss atrod šos failus uz cietā diska,
disketes vai tīkla diska, tas pārveido šos failus ar .vbs paplašinājumu un tos
sabojā. Mp3 failus tas vienkārši paslēpj. Speciālisti saka, ka vairākumā gadījumu
ir iespējams šos failus atgūt. Ja kāds no šiem failiem tiek palaists vai atvērts,
tas uzreiz inficē datoru. IRC programmas pamat direktorijā vīruss izveido failu
script.ini, kas nosūta visiem IRC kanālā failu Love-letter-fot you.htm. MS Outlook
vīruss izsūta vēstuli uz visām adresēm, kas ir adrešu grāmatas saturā, bet tikai
vienu reizi. Tādēļ arī šo vīrusu jūs itkā saņemat no kāda pazīstama cilvēka.
Pēc vīrusa
parādīšanās, jau vairāki cilvēki ir piestrādājuši, lai pārveidotu šo vīrusu.
Līdz šim (23.05.2000) ir zināmas 29 vīrusa versijas:
| Nosaukums: |
VBS.LoveLetter.A |
| Pielikums (attachment): |
LOVE-LETTER-FOR-YOU.TXT.vbs |
| Temata līnija (subject): |
ILOVEYOU |
| Vēstules saturs: |
kindly check the attached
LOVELETTER coming from me. |
|
|
| Nosaukums: |
VBS.LoveLetter.B
(zināms arī kā Lithuania, šī vīrusa paveids, kas
iespējams nāk no Lietuvas) |
| Pielikums: |
LOVE-LETTER-FOR-YOU.TXT.vbs |
| Temata līnija: |
Susitikim shi vakara kavos
puodukui... |
| Vēstules saturs: |
kindly check the attached
LOVELETTER coming from me. |
|
|
| Nosaukums: |
VBS.LoveLetter.C
(zināms arī kā Very Funny) |
| Pielikums: |
Very Funny.vbs |
| Temata līnija: |
fwd: Joke |
| Vēstules saturs: |
|
|
|
| Nosaukums: |
VBS.LoveLetter.D
(zināms arī kā BugFix) |
| Pielikums: |
LOVE-LETTER-FOR-YOU.TXT.vbs |
| Temata līnija: |
ILOVEYOU |
| Vēstules saturs: |
kindly check the attached
LOVELETTER coming from me. |
| Piezīmes: |
Windows reģistratūrā
pievieno WIN- -BUGSFIX.exe nevis WIN-BUGFIX.exe |
|
|
| Nosaukums: |
VBS.LoveLetter.E
(zināms arī kā Mother`s Day) |
| Pielikums: |
mothersday.vbs |
| Temata līnija: |
Mothers Day Order
Confirmation |
| Vēstules saturs: |
We have proceeded to charge
your credit card for the amount of $326.92 for the mothers day diamond special. We have
attached a detailed invoice to this email. Please print out the attachment and keep it in
a safe place.Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com |
| Piezīmes: |
IRC kanālā izsūta failu
mothersday.htm ar komentāru "rem: hackers.com", par Internet Explorer sākuma
web lappusi noliek hackes.com, l0pht.com, vai 2600.com. |
|
|
| Nosaukums: |
VBS.LoveLetter.F
(zināms arī kā Virus Warning) |
| Pielikums: |
virus_warning.jpg.vbs |
| Temata līnija: |
Dangerous Virus Warning |
| Vēstules saturs: |
There is a dangerous virus
circulating. Please click attached picture to view it and learn to avoid it. |
|
|
| Nosaukums: |
VBS.LoveLetter.G
(zināms arī kā Virus ALERT!!!) |
| Pielikums: |
protect.vbs |
| Temata līnija: |
Virus ALERT!!! |
| Vēstules saturs: |
a long message regarding
VBS.LoveLetter.A |
|
|
| Nosaukums: |
VBS.LoveLetter.H
(zināms arī kā No Comments) |
| Pielikums: |
LOVE-LETTER-FOR-YOU.TXT.vbs |
| Temata līnija: |
ILOVEYOU |
| Vēstules saturs: |
kindly check the attached
LOVELETTER coming from me. |
|
|
| Nosaukums: |
VBS.LoveLetter.I
(zināms arī kā Important! Read carefully!!) |
| Pielikums: |
Important.TXT.vbs |
| Temata līnija: |
Important! Read carefully!! |
| Vēstules saturs: |
Check the attached IMPORTANT
coming from me! |
| Piezīmes: |
Windows direktorijā iekopē
arī failus ESKernel32.vbs un ES32DLL.vbs, IRC kanāla izsūta failu important.htm. |
|
|
| Nosaukums: |
VBS.LoveLetter.J |
| Pielikums: |
protect.vbs |
| Temata līnija: |
Virus ALERT!!! |
| Vēstules saturs: |
a long message regarding
VBS.LoveLetter.A |
| Piezīmes: |
Tas varētu būt slikts
VBS.LoveLetter.G atdarinājums. |
|
|
| Nosaukums: |
VBS.LoveLetter.K |
| Pielikums: |
Virus-Protection-Instructions.vbs |
| Temata līnija: |
How to protect yourself from
the IL0VEY0U bug! |
| Vēstules saturs: |
Here's the easy way to fix
the love virus. |
|
|
| Nosaukums: |
VBS.LoveLetter.L
(zināms arī kā I Cant Believe This!!!) |
| Pielikums: |
KillEmAll.TXT.VBS |
| Temata līnija: |
I Cant Believe This!!! |
| Vēstules saturs: |
I Cant Believe I have Just
Recieved This Hate Email .. Take A Look! |
| Piezīmes: |
Tas iznīcina GIF,BMP,WAV,MID
failus nevis JPG, MP3 un MP2. Nedarbojas IRC kanālos. Nokopē failus KILER.HTM,
KILLER2.VBS, KILLER1.VBS uz cieto disku. |
|
|
| Nosaukums: |
VBS.LoveLetter.M
(zināms arī kā Arab Air) |
| Pielikums: |
ArabAir.TXT.vbs |
| Temata līnija: |
Thank You For Flying With
Arab Airlines |
| Vēstules saturs: |
Please check if the bill is
correct, by opening the attached file |
| Piezīmes: |
Tas ievieto savu kodu DLL un
EXE failos un paslēpj SYS un DLL failus. |
|
|
| Nosaukums: |
VBS.LoveLetter.N
(zināms arī kā Variant Test) |
| Pielikums: |
IMPORTANT.TXT.vbs |
| Temata līnija: |
Variant Test |
| Vēstules saturs: |
This is a variant to the vbs virus. |
| Piezīmes: |
Tas sevi uz cietā diska
iekopē kā sndvol32.vbs un IEAKDLL.vbc. Kā Internet Explorer sākuma lapu tas noliek http://astalavista.box.sk. Sabojā .mpg, .mpeg, .avi,
.qt, .qtm failus. |
|
|
| Nosaukums: |
VBS.LoveLetter.O
|
| Piezīmes: |
Neievērojami modifcēta A
versija. |
|
|
| Nosaukums: |
VBS.LoveLetter.P
(zināms arī kā Yeah Yeah) |
| Pielikums: |
Vir-Killer.vbs |
| Temata līnija: |
Yeah, Yeah another time to DEATH... |
| Vēstules saturs: |
This is the Killer for VBS.LOVE-LETTER.WORM. |
| Piezīmes: |
Kā Internet Explorer sākuma
lapu tas noliek http://www.yahoo.com/Vir-Killer.exe.
Sabojā .zip, .rar failus un paslēpj .pas, .asm failus. |
|
|
| Nosaukums: |
VBS.LoveLetter.Q
(zināms arī kā LOOK!) |
| Pielikums: |
LOOK.vbs |
| Temata līnija: |
LOOK! |
| Vēstules saturs: |
hehe...check this out. |
| Piezīmes: |
Sevi iekopē kā MSUser32.vbs un User32DLL.vbs. Pārraksta .xls, .mdb un
paslēpj .exe, .lnk. Izveido failu LOOK.htm. |
|
|
| Nosaukums: |
VBS.LoveLetter.R
(zināms arī kā Bewerbung) |
| Pielikums: |
BEWERBUNG.TXT.vbs |
| Temata līnija: |
Bewerbung Kreolina |
| Vēstules saturs: |
Sehr geehrte Damen und Herren! |
| Piezīmes: |
IRC kanālā izsūta failu BEWERBUNG.HTM. |
|
|
| Nosaukums: |
VBS.LoveLetter.S
(zināms arī kā Bewerbung) |
| Piezīmes: |
Neievērojami modifcēta A
versija. |
|
|
| Nosaukums: |
VBS.LoveLetter.T
(zināms arī kā BAND-AID) |
| Pielikums: |
BAND-AID.DOC.VBS |
| Temata līnija: |
Recent Virus Attacks-Fix |
| Vēstules saturs: |
Attached is a copy of a script that will reverse the effects of the
LOVE-LETTER-TO-YOU.TXT.vbs as well as the FW:JOKE, Mother's Day and Lithuanian siblings. |
| Piezīmes: |
Kā Internet Explorer sākumlapu tas noliek kādu ar datorvīrusiem
saistītu web lappusi. Izdzēš failus ar .BAT, .GIF, .TIF, .TIFF, .WAV, .LNK, .BAK, .DOC,
.XLS, .RTF, .TXT, .HTM, .HTML, .XML, .MNY, .ZIP, .BMP, .CAB, .INF paplašinājumiem. MP3
un MP2 failus tas arī izdzēš. IRC kanālā izsūta inficētu failu BAND-AID.HTM. |
|
|
| Nosaukums: |
VBS.LoveLetter.U
(zināms arī kā BAND-AID) |
| Pielikums: |
UOL.TXT.vbs |
| Temata līnija: |
PresenteUOL |
| Vēstules saturs: |
O UOL tem um grande presente para voce, e eh exclusivo.Veja o arquivo em
anexo. Http://www.uol.com.br |
| Piezīmes: |
Kā Internet Explorer sākumlapu tas noliek http://www.uol.com.
Paslēpj .EXE, .COM, .INI failus. IRC kanālā izsūta UOL.htm. |
|
|
| Nosaukums: |
VBS.LoveLetter.V |
| Piezīmes: |
Neievērojami modifcēta A
versija. |
|
|
| Nosaukums: |
VBS.LoveLetter.W |
| Pielikums: |
Bug and virus fix.vbs |
| Temata līnija: |
IMPORTANT: Official virus and bug fix |
| Vēstules saturs: |
This is an official virus and bug fix. I got it from our system admin. It
may take a short while to update your system files after you run the attachment. |
| Piezīmes: |
Kā Internet Explorer sākumlapu tas noliek kādu ar datorvīrusiem
saistītu web lappusi. Pārraksta .EXE, .COM, .DLL, .SYS, .PWL, .TXT failus. IRC kanālos
izsūta failu Bug and virus fix.htm. |
|
|
| Nosaukums: |
VBS.LoveLetter.X
(zināms arī kā ANTI-VIRUS-LISTE) |
| Pielikums: |
ANTI-VIRUS-LISTE.TXT.vbs |
| Temata līnija: |
NEUE ANTI-VIRUS-LISTE |
| Vēstules saturs: |
Hiermit senden wir Ihnen/Dir eine neue Liste mit LOVE-LETTER-VIRUS Namen,
die nicht geoeffnet werden sollten, bitte sofort lesen, danke. |
| Piezīmes: |
Pārraksta: .MDB, .PDF, .WSH, .DOT, .HTA, .JS, .DRV, .INI failus.
Paslēpj: .XLS, .DOC failus. IRC kanālos izsūta failu ANTI-VIRUS-LISTE.HTM. |
|
|
| Nosaukums: |
VBS.LoveLetter.Y
(zināms arī kā LOOK! 2) |
| Pielikums: |
LOOK.vbs |
| Temata līnija: |
LOOK! |
| Vēstules saturs: |
hehe...check this out. |
| Piezīmes: |
Tāds pats kā Q versija tikai paslēpj .MP3 un .MP2 failus. |
|
|
| Nosaukums: |
VBS.LoveLetter.Z
(zināms arī kā BUG & VIRUS FIX) |
| Pielikums: |
MAJOR BUG & VIRUS FIX.vbs |
| Temata līnija: |
BUG & VIRUS FIX |
| Vēstules saturs: |
I got this from our system admin. Run this to help pervent any recent or
future bug & virus attack's. It may take a small while up update your files. |
| Piezīmes: |
Kā Internet Explorer sākumlapu tas noliek kādu ar datorvīrusiem
saistītu web lappusi. Pārraksta .COM, .DLL, .EXE, .TXT, .BAT, .SYS failus. IRC kanālos
izsūta failu BUG & VIRUS FIX.HTM. |
|
|
| Nosaukums: |
VBS.LoveLetter.AA |
| Piezīmes: |
Neievērojami modifcēta A
versija. |
|
|
| Nosaukums: |
VBS.LoveLetter.AB |
| Piezīmes: |
Neievērojami modifcēta A
versija. |
|
|
| Nosaukums: |
VBS.LoveLetter.AC
(zināms arī kā antivirusupdate) |
| Pielikums: |
antivirusupdate.vbs |
| Temata līnija: |
New Variation on LOVEBUG Update Anti-Virus!! |
| Vēstules saturs: |
There is now a newer variant of love bug. It was released at 8:37 PM
Saturday Night. Please Download the following patch. We are trying to isolate the virus.
Thanks Symantec." |
| Piezīmes: |
IRC kanālos izsūta inficētu failu antivirusupdate.htm. |
|
|
|
|
|
