-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
.
http://www.grisoft.cz/php/cs_upd.php3?avg=6&lng=cz
Kdybyste měli s dynamickou stránkou problémy, ozvěte se na
_můj_ e-mail, ne do konference!
=================
VBS/Iloveyou
============
VBS/Iloveyou je nový virus, který se umí šířit elektronickou
poštou. Dlužno podotknout, že mu to jde znamenitě. Jenom pro
srovnání - W97M/Melissa potřebovala k celosvětovému
rozšíření tři dny, I-Worm/ExploreZip to zvládnul za den a
VBS/Iloveyou na to stačily tři hodiny.
Zpráva ve které dorazí má předmět:
ILOVEYOU
a v těle je napsáno pouze:
kindly check the attached LOVELETTER coming from me.
připojený soubor LOVE-LETTER-FOR-YOU.TXT.vbs samozřejmě
neobsahuje milostný dopis, ale kopii viru.
Zdá se, že chytře zvolené jméno přílohy je jednou z příčin
mimořádně úspěšného šíření tohoto viru. Mnozí uživatelé ho
otevřeli v pevné víře, že soubor s příponou .txt nemůže být
nebezpečný.
Ke svému životu virus potřebuje instalovaný Windows Scripting
Host - ten je součástí operačních systémů Windows 2000 a
Windows 98 ale může být také nainstalován s Office 2000 nebo
Internet Explorer 5.
Své kopie virus umístí do adresáře ve kterém jsou
nainstalovány Windows (jako Win32DLL.vbs) a do systémového
adresáře Windows (jako LOVE-LETTER-FOR-YOU.TXT.vbs a
MSKernel32.vbs). V registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\
nastaví položky
Run\MSKernel32
RunServices\Win32DLL
tak, aby byly kopie viru spouštěny při každém startu
počítače.
V registry dále upraví nastavení Internet Exploreru tak, že
přesměruje Download Directory na C:\ a startovací stránku na
odkaz na soubor WIN-BUGSFIX.exe, který byl umístěn na čtyřech
různých osobních stránkách na www.skyinet.net. Tento program
se snaží vyhledat vaše hesla a informace o způsobu vašeho
dial-up připojení k internetu a odeslat je na adresu
mailme@super.net.ph. Díky rychlé reakci správce serveru byly
tyto stránky odstraněny vzápětí poté co se virus začal šířit.
Dále se podívá na počet adres ve WAB (Windows Adress Book)
a v adresáři MS Outlooku a rozešle se na všechny adresy
z toho adresáře, kde je jich víc.
Kromě šíření elektronickou poštou umí VBS/Iloveyou zneužít i
mIRC - vyrobí ještě soubor LOVE-LETTER-FOR-YOU.HTM a upraví
SCRIPT.INI tak, aby byl tento soubor rozesílán účastníkům
kanálů na kterých někdo z infikovaného prostředí chatuje.
Aby si zajistil úspěšné přežití na vašem počítači, tak
prozkoumá obsah všech vašich disků a soubory s příponami .vbs
a .vbe přepíše sám sebou. Soubory s příponami .js, .jse,
.css, .wsh, .sct a .hta smaže a místo nich vytvoří svou kopii
s původním jménem ale s příponou .vbs.
Podle chování viru lze dále soudit, že jeho autor má raději
hudbu než obrázky. VBS/Iloveyou totiž k existujícím souborům
s příponami .jpg, .jpeg, .mp2 a .mp3 vytváří své kopie se
stejným jménem a doplněnou příponou (například k bobr.jpg
vytvoří bobr.jpg.vbs), ale hudební soubory pak na disku nechá
a obrázky smaže.
Virus také obsahuje komentáře tyto komentáře:
barok -loveletter(vbe) <i hate go to school>
by: spyder / ispyder@mail.com /
@GRAMMERSoft Group / Manila,Philippines
- ----- Original Message -----
From: Fišer Jan <Jan.Fiser@ipbpojistovna.cz>
To: <servis-internet@nawebu.cz>
Sent: Thursday, May 04, 2000 12:34 PM
Subject: RE: SPAM - "ILOVEYOU"
> >
> > Zdravim Vas vsechny,
> >
> > > Pokud se na vasem pocitaci objevi E_mail ktery bude obsahovat:
> > > predmet ILOVEYOU a bude obsahovat
> > > soubor LOVE_LETTER_FOR_YOU.TXT.vbs
> > > O k a m z i t e j e j v y m a z t e ! ! !
> > > N E O T V I R A T !!!
> >
> > Nejak se to k nam dostalo.
> > Tak nas politujte :-)
> >
>
> Lituju
>
> Ted jsem prave varoval vsechny kolegy, ze jim vlastnorucne ublizim,
> pokud to zkusi otevrit
>
> Pro ostatni http://svet.namodro.cz/go/r-art.asp?id=1000504496
>
> --
> Jan Fiser
>
> ------------------- konference casopisu Internet
> ----------------------- Archiv a instrukce pro odhlaseni/prihlaseni
> na http://internet.nawebu.cz
> FAQ a objednavka jeho aktualizaci mailem na
> http://www.kab.cz/faq/
> --------------------------------------------------------------------
> ----
>
-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 6.5.2 for non-commercial use <http://www.pgp.com>
iQA/AwUBORGncELb+1JlVdBdEQLnOACfb6JoMFsq3qCdCmbLELNsT943gyQAn32s
5bMJ8DfRU4BZu2oS/3Y5GVuH
=qYDE
-----END PGP SIGNATURE-----
This archive was generated by hypermail 2.1.2 : 04. 09. 2001, 01:43 CEST