VBS / LoveLetter це VBScript-черв'як. Розповсюджується за допомогою ланцюжка листів.
Для поширення хробак використовує додаток Outlook. LoveLetter також створює VBS вірус, і поширюється, використовуючи mIRC клієнт.
Коли відбувається запуск, черь спочатку копіює себе в дірректорію ltWindows dirgt / System як:
-
Win32DLL.vbs
Далі він додає запис до реєстру, щоб запускатися при кожному рестарт системи. У реєст додаються:
Потім хробак замінює домашню сторінку Internet Explorer лінком, який вказує на executable (виконувану) -програма, "WIN-BUGSFIX.exe". Якщо файл WIN-BUGSFIX.exe уде викачаний, черв'як також додає інформацію про нього до Державного реєстру. Таким чином програма буде виконана після перезавантаження системи.
Executable частина, яку черв'як завантажив з мережі - троян, що перехоплює паролі. При запуску троян намагається нахйті приховане вікно з ім'ям 'BAROK. '. Якщо вікно присутній, троян негайно завершує роботу, якщо ні - управління отримує головна частина. Троян перевіряє наявність підключа WinFAT32 в ключі реєстру HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run.
Якщо з'єднання WinFAT32 не знайдений, троян створює його, копіює себе в \ Windows \ System \ каталог як WINFAT32. EXE і потім запускається звідти. Таким чином, зміни в системному реєстрі, робить троян активним при кожному запуску Windows.
Потім троян утанавлівается в IE startup page як 'about: blank'. Далі знаходить і видаляє ключі:
-
Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Network \ HideSharePwds
-
Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Network \ DisablePwdCaching
-
.DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Network \ HideSharePwds
-
.DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Network \ DisablePwdCaching
Також в тілі трояна є зашифровані повідомлення, які він використовував для тільки йому зрозумілих цілей.
Після цього черв'як створює HTML файл, "LOVE-LETTER-FOR-YOU.HTM", в Директорії System. Цей файл містить хробака, і це буде посланий, використовуючи mIRC кожен раз, коли користувач приєднується до IRC каналу.
-
Subject: ILOVEYOU
-
Body: kindly check the attached LOVELETTER coming from me.
-
Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs
-
barok -loveletter (vbe) lti hate go to schoolgt
-
by: spyder / [email protected] / @GRAMMERSoft Group / Manila, Philippines
Ручне видалення LoveLetter можна бути зроблено, шляхом видалення наступних файлів з інфікованою машини:
- Все.VBS файли з усіх дисків і Директорії;
- Файл LOVE-LETTER-FOR-YOU.HTM з каталогу Windows System;
- WIN-BUGSFIX.EXE і WINFAT32. EXE з Директорії Download Internet Explorer'а.
Цей варіант вірусу використовує інший Subj при поширенні:
-
Modified Lameris Tamoshius / Lithuania (Tovi systems)
Цей варіант розмножується з повідомленням:
-
Subject: fwd: Joke
-
Attachment: Very Funny.vbs
Цей варіант - злегка змінений варіант VBS / LOVELETTER.A.
Додатково, цей варіант видаляє всі файли з розширенням * .ini "і * .bat" замість * .jpg "і * .jpeg". Цей варіант не намагається завантажувати "WIN - BUGSFIX.EXE" з Internet, проте змінює початкову сторінку Internet Explorer.