Sredinom maja, bilans je glasio: preko 5 miliona zaraženih kompjutera, preko 20 milijardi dolara procenjene štete i barem 25 varijanti ILOVEYOU virusa... | |
Kristijan Lazić |
Tehnički posmatran, I-Worm.LoveLetter nije programersko remek-delo, pa se i letimičnim pregledom koda mogu uočiti mnoge nedorađenosti: to je "običan" program napisan u Visual Basic Script jeziku, jasan svakom ko razume engleski i površno poznaje programiranje. Kako je onda "ljubavna buba" premašila sve rekorde u broju zaraženih računara i brzini širenja? Tok ljubavne pričeI-Worm.LoveLetter spada u Internet crve tj. viruse koji se razmnožavaju kroz elektronsku poštu. Da bi se virus inficirao, korisnik mora da pokrene fajl uz poruku, što znači da sama poruka treba da bude provokativna. A šta je provokativnije od ljubavnog pisma koje ste dobili od osobe koju poznajete? Kada kliknete na "sliku", sve je gotovo - čim se sledeći put povežete na Internet, virus će poslati kopije samog sebe na sve adrese koje pronađe u vašem adresaru, postavljajući posle toga marker u registry bazi kako bi se izbeglo duplo slanje. Prvi pokazatelj da nešto nije u redu je primetno povećan protok podataka od vašeg računara, tj. zagušenje veze; što je više adresa u adresaru, više je vremena potrebno da se kopije virusa distribuiraju.
Pošto je pokrenut, virus će najpre prekopirati sebe u Windows\System folder pod imenima MSKernel32.vbs i LOVE-LETTER-FOR-YOU.TXT.vbs, kao i u Windows folder pod imenom Win32DLL.vbs. Zatim će u registry bazu dodati ključeve HLM\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32 i HLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL koji obezbeđuju startovanje virusa pri podizanju Windows-a. Na kraju, crv će zameniti home stranu Internet Explorer-a, tako da pokazuje na program WIN-BUGSFIX.exe na jednoj od četiri adrese. U slučaju da se taj fajl prenese i pokrene, računar je zaražen trojancem čiji je zadatak da pokrade lozinke i prosledi ih na određenu e-mail adresu. Trojanac najpre pokušava da pronađe skriveni prozor naziva 'BAROK...' i deaktivira se ako ga nađe. U protivnom se izvršava glavni modul koji proverava postojanje ključa WinFAT32 u grani HLM\Software\Microsoft\Windows\CurrentVersion\Run. Ako ključ ne postoji, trojanac će ga kreirati i prekopirati sebe u Windows System direktorijum pod nazivom WINFAT32.EXE, a zatim se aktivirati. Home strana Internet Explorer-a biće podešena na about:blank vrednost, a trojanac će zatim pokušati da pronađe i obriše ključeve HideSharePwds i DisablePwdCaching u grani Software\Microsoft\Windows\CurrentVersion\Policies\Network\, kao i HideSharePwds i DisablePwdCaching u grani .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network\. Na kraju će trojanac napraviti skriveni prozor naziva 'BAROK...' koji će ostati aktivan u memoriji sve vreme rada. Lozinke koje se pronađu prosleđuju se na adresu mailme@super.net.ph sa porukom Barok... email.passwords.sender.trojan u Subject polju. Segment zadužen za širenje preko mIRC-a će najpre kreirati fajl LOVE-LETTER-FOR-YOU.HTM koji sadrži virus u Windows\System folderu, a zatim ga poslati koristeći mIRC svaki put pošto korisnik uđe na IRC kanal. Slede destruktivne operacije: virus će pretražiti sve lokalne i mrežne diskove i zameniti fajlove sa ekstenzijom VBS i VBE sobom. Fajlovi sa ekstenzijama JS, JSE, CSS, WSH, SCT i HTA dobiće "kompanjone" - virus će kreirati nove datoteke istog imena, ali sa ekstenzijom VBS. U sledećem koraku virus će potražiti fajlove sa ekstenzijama JPG i JPEG i zameniti ih sobom, dok muzičke fajlove sa ekstenzija MP3 i MP2 čeka nešto drugačija sudbina - biće skriveni setovanjem atributa Hidden. Autor virusa je svoje delo potpisao porukom barok ...i hate go to school suck ->by: ispyder@mail.com @Copyright (c) 2000 GRAMMERSoft Group >Manila,Phils. Slična pisma
Varijante virusa koja su nastale vrlo brzo razlikuju se po tome što umesto slika i muzike brišu sve fajlove (*.*), tekst poruke je različit, a izbačen je segment koji preuzima trojanca sa interneta. Svega nekoliko dana nakon početka "virtuelne pandemije", pojavila se varijanta LoveLetter.E poznatija kao "Dan majki". U telu poruke nalazi se tekst Mothers Day Order Confirmation, a u telu tekst koji vas obaveštava da je registrovana kupovina sa vaše kartice na sumu od 326.92 dolara, te da se u fajlu priključenom uz poruku (mothersday.vbs) nalaze svi detalji. Česte su i varijante koje se predstavljaju kao zaštita od virusa, a koje su po pravilu najopasnije. Sistem zaštite od Internet crva uvek je isti - fajlove koji stignu uz poruku ne treba otvarati, već ih snimiti na sigurno mesto, npr. c:\windows\temp\ i skenirati AV programom. Naknadna provera kod osobe koja je poslala fajl može da razreši sumnjive situacije. Da biste se zaštitili od novih varijanti, barem jednom nedeljno osvežavajte antivirusni program novim definicijama i budite oprezniji nego inače - zapamtite da ćete virus verovatno dobiti kao poruku od poznate osobe! Jedno od rešenja (koje ne preporučujemo) je i deinstalacija Windows Script Host-a, programa zaduženog za izvršavanje skriptova na računaru. U slučaju da ga uklonite iz sistema, bićete potpuno bezbedni od svih virusa ovog tipa, ali postoji opasnost da neki programa koji koriste skriptove prestanu da funkcionišu. Detalje ćete naći na www.f-secure.com/virus-info/u-vbs/. Da biste virus "ručno" izbacili iz sistema, treba da obrišete sve pomenute fajlove i ključeve iz registry baze, a zatim da restartujete sistem. Ne zaboravite da različite varijante obično imaju i različite nazive programa, pa je dobro čitav posao prepustiti antivirus softveru. |