-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 . http://www.grisoft.cz/php/cs_upd.php3?avg=6&lng=cz Kdybyste měli s dynamickou stránkou problémy, ozvěte se na _můj_ e-mail, ne do konference! ================= VBS/Iloveyou ============ VBS/Iloveyou je nový virus, který se umí šířit elektronickou poštou. Dlužno podotknout, že mu to jde znamenitě. Jenom pro srovnání - W97M/Melissa potřebovala k celosvětovému rozšíření tři dny, I-Worm/ExploreZip to zvládnul za den a VBS/Iloveyou na to stačily tři hodiny. Zpráva ve které dorazí má předmět: ILOVEYOU a v těle je napsáno pouze: kindly check the attached LOVELETTER coming from me. připojený soubor LOVE-LETTER-FOR-YOU.TXT.vbs samozřejmě neobsahuje milostný dopis, ale kopii viru. Zdá se, že chytře zvolené jméno přílohy je jednou z příčin mimořádně úspěšného šíření tohoto viru. Mnozí uživatelé ho otevřeli v pevné víře, že soubor s příponou .txt nemůže být nebezpečný. Ke svému životu virus potřebuje instalovaný Windows Scripting Host - ten je součástí operačních systémů Windows 2000 a Windows 98 ale může být také nainstalován s Office 2000 nebo Internet Explorer 5. Své kopie virus umístí do adresáře ve kterém jsou nainstalovány Windows (jako Win32DLL.vbs) a do systémového adresáře Windows (jako LOVE-LETTER-FOR-YOU.TXT.vbs a MSKernel32.vbs). V registry: HKLM\Software\Microsoft\Windows\CurrentVersion\ nastaví položky Run\MSKernel32 RunServices\Win32DLL tak, aby byly kopie viru spouštěny při každém startu počítače. V registry dále upraví nastavení Internet Exploreru tak, že přesměruje Download Directory na C:\ a startovací stránku na odkaz na soubor WIN-BUGSFIX.exe, který byl umístěn na čtyřech různých osobních stránkách na www.skyinet.net. Tento program se snaží vyhledat vaše hesla a informace o způsobu vašeho dial-up připojení k internetu a odeslat je na adresu mailme@super.net.ph. Díky rychlé reakci správce serveru byly tyto stránky odstraněny vzápětí poté co se virus začal šířit. Dále se podívá na počet adres ve WAB (Windows Adress Book) a v adresáři MS Outlooku a rozešle se na všechny adresy z toho adresáře, kde je jich víc. Kromě šíření elektronickou poštou umí VBS/Iloveyou zneužít i mIRC - vyrobí ještě soubor LOVE-LETTER-FOR-YOU.HTM a upraví SCRIPT.INI tak, aby byl tento soubor rozesílán účastníkům kanálů na kterých někdo z infikovaného prostředí chatuje. Aby si zajistil úspěšné přežití na vašem počítači, tak prozkoumá obsah všech vašich disků a soubory s příponami .vbs a .vbe přepíše sám sebou. Soubory s příponami .js, .jse, .css, .wsh, .sct a .hta smaže a místo nich vytvoří svou kopii s původním jménem ale s příponou .vbs. Podle chování viru lze dále soudit, že jeho autor má raději hudbu než obrázky. VBS/Iloveyou totiž k existujícím souborům s příponami .jpg, .jpeg, .mp2 a .mp3 vytváří své kopie se stejným jménem a doplněnou příponou (například k bobr.jpg vytvoří bobr.jpg.vbs), ale hudební soubory pak na disku nechá a obrázky smaže. Virus také obsahuje komentáře tyto komentáře: barok -loveletter(vbe) <i hate go to school> by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines - ----- Original Message ----- From: Fišer Jan <Jan.Fiser@ipbpojistovna.cz> To: <servis-internet@nawebu.cz> Sent: Thursday, May 04, 2000 12:34 PM Subject: RE: SPAM - "ILOVEYOU" > > > > Zdravim Vas vsechny, > > > > > Pokud se na vasem pocitaci objevi E_mail ktery bude obsahovat: > > > predmet ILOVEYOU a bude obsahovat > > > soubor LOVE_LETTER_FOR_YOU.TXT.vbs > > > O k a m z i t e j e j v y m a z t e ! ! ! > > > N E O T V I R A T !!! > > > > Nejak se to k nam dostalo. > > Tak nas politujte :-) > > > > Lituju > > Ted jsem prave varoval vsechny kolegy, ze jim vlastnorucne ublizim, > pokud to zkusi otevrit > > Pro ostatni http://svet.namodro.cz/go/r-art.asp?id=1000504496 > > -- > Jan Fiser > > ------------------- konference casopisu Internet > ----------------------- Archiv a instrukce pro odhlaseni/prihlaseni > na http://internet.nawebu.cz > FAQ a objednavka jeho aktualizaci mailem na > http://www.kab.cz/faq/ > -------------------------------------------------------------------- > ---- > -----BEGIN PGP SIGNATURE----- Version: PGPfreeware 6.5.2 for non-commercial use <http://www.pgp.com> iQA/AwUBORGncELb+1JlVdBdEQLnOACfb6JoMFsq3qCdCmbLELNsT943gyQAn32s 5bMJ8DfRU4BZu2oS/3Y5GVuH =qYDE -----END PGP SIGNATURE-----
This archive was generated by hypermail 2.1.2 : 04. 09. 2001, 01:43 CEST