Згідно з даними компанії F-Secure, вірус, який поширюється через електронні поштові повідомлення, що містять в полі "Тема" листи запис "I Love You" або "Love Letter", вперше з'явився 4 травня в Азії. Ймовірним джерелом його походження є Філіппіни.
На думку експертів, вірус I Love You може принести багато більше неприємностей, ніж сумнозвісна Melissa.
На думку Міко Хиппонен (Mikko Hypponen), керівника дослідницької групи F-Secure, за п'ять останніх років ще не було вірусу, настільки швидко і глобально розповсюджувався б по світу: "За чотири години з часу першого тривожного повідомлення з Норвегії, що надійшов в 9 ранку за Гринвічем, в F-Secure вже є дані про вірус з понад 20 країн ".
Вже є інформація, що поштові повідомлення з I Love You були отримані в Пентагоні, Федеральному резервному Банку, Міністерстві оборони США; ФБР почало розслідування причин і джерел поширення вірусу.
При першому запуску вірусу він копіює себе в наступні директорії:
WINDOWS \ SYSTEM \ MSKERNEL32.VBS
WINDOWS \ WIN32DLL.VBS
WINDOWS \ SYSTEM \ LOVE-LETTER-FOR-YOU.TXT.VBS
і додає наступні реєстраційні ключі:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \
Run \ MSKernel32 = WINDOWS \ SYSTEM \ MSKernel32.vbs
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \
RunServices \ Win32DLL = WINDOWS \ Win32DLL.vbs
I Love You сканує всі диски. доступ до яких можна здійснити з даної машини, в пошуках файлів * .JPG і * .JPEG. Знайшовши їх, вірус копіює себе в файли і додає розширення .VBS (тобто файл 123.JPG стає 123.JPG.VBS). Крім того, вірус записує себе в усі файли * .VBS, * .VBE, * .JS, * .JSE, * .CSS, * .WSH, * .SCT, * .HTA і змінює їх розширення на .VBS. При знаходженні файлів * .MP3 і * .MP2, I Love You замінює код, додає своє розширення і робить файл невидимим.
який автоматично запустить програму для крадіжки паролів при включенні ОС. При цьому троянець копіює себе в
і замінює відповідний ключ Реєстру на
Згідно з даними компанії TrendMicro. є п'ять варіацій вірусу.
LOVELETTER
Тема листа - ILOVEYOU,
тіло - kindly check the attached LOVELETTER coming from me,
аттачменті - LOVE-LETTER-FOR-YOU.TXT.vbs.
Розповсюджується по електронній пошті і мереж mIRC. В останньому випадку вірус відправляє файл LOVE-LETTER-FOR-YOU.HTM всім користувачам того ж каналу, що і "заражений" користувач.
Very Funny
Аттачменті - Very Funny.vbs,
тема - fwd: Joke,
тіло - без тексту,
створює файл Very Funny.HTM.
Brainstorm
Аттачменті - ESKernel32.vbs, ES32DLL.vbs, Important.TXT.vbs,
тема - Important. Read carefully.
тіло - Check the attached IMPORTANT coming from me.
використовує документ Important.HTM.
Якщо ваша система вже заражена вірусом, то єдине, що ви можете зробити, це видалити джерело зараження.
Натисніть START | RUN
Впишіть в командний рядок REGEDIT і натисніть ENTER
У лівій частині вікна натисніть на "+" проти рядки:
HKEY_LOCAL_MACHINE, Software, Microsoft, Windows, CurrentVersion, Run
У правій частині вікна знайдіть ключ, який містить записи: \ Windows \ System \ MSKernel32.vbs "і" \ WIN-BUGSFIX.exe "і видаліть його.
Необхідно також знайти і видалити ключ із записом ": \ Windows \ System \ Win32DLL.vbs".
Вийдіть з Реєстру.
Натисніть START | SHUTDOWN. Виберіть режим "Restart in MS-DOS mode" і натисніть OK.
Після перезапуску комп'ютера відкриється директорія C: \.
Додайте в рядок запис "DEL WIN-BUGSFIX.exe".
Натисніть CTRL + ALT + DEL і нехай Windows перезавантажиться.
Необхідно також знайти і видалити файл VBS_LOVELETTER, що убезпечить систему від реінфікування.
Для виправлення записів в Рееестре і видалення зіпсованих вірусом файлів HTML і TXT, скористайтеся інструментом SWAT.EXE, розробленим TrendMicro.
Є також і пара-трійка спеціалізованих програм, які допоможуть вам ліквідувати наслідки руйнівних дій I Love You.
І на майбутнє. Не будьте надмірно цікаві - не варто відкривати ніяких аттачменті до листів, отриманих від невідомих вам осіб. Та й знайомі можуть через незнання переслати вам заражений файл.