Werking I Love you virus

vbimport

#1

De werking van het virus

  1. Het virus komt als een mailtje binnen, met als subject "ILOVEYOU", body "kindly check the attached LOVELETTER coming from me." en een attachment "LOVE-LETTER-FOR-YOU.TXT.vbs".

  2. Start je het attachment, dan ben je besmet.

  3. Het virus kopieert zichzelf drie keer. Eén keer als MSKernel32.vbs in de Windows-folder, één keer als Win32DLL.vbs in de WindowsSystem-folder en één keer als LOVE-LETTER-FOR-YOU.TXT.vbs in de TEMP-folder.

  4. Het register wordt aangepast, zodat elke keer bij het opstarten MSKernel32.vbs en Win32DLL.vbs gestart worden (het virus zelf dus).

  5. Er wordt gekeken of het bestand WinFAT32.exe in de SYSTEM-folder staat. Is dit niet het geval, dan wordt de startpagina van Internet Explorer ingesteld op het bestand WIN-BUGSFIX.exe op één van de vier adressen op een www.skyinet.net server. Als Netscape gebruikt wordt zal het bestand dus niet gedownload worden.

  6. Er wordt gekeken of het bestand WIN-BUGSFIX.exe is gedownload, door te kijken of het in de downloaddirectory staat. Is deze niet aangegeven, dan wordt er op C:\ gekeken.

  7. Als het bestand gevonden is, wordt er als startpagina weer een lege pagina gekozen en wordt het register verandert zodat WIN-BUGSFIX.exe steeds gestart wordt bij het starten van Windows.

  8. Er wordt in het register gekeken welke E-Mailadressen allemaal in het Microsoft Outlook adressenboek staan. Naar al deze E-Mailadressen wordt een mailtje gestuurd, met als subject "ILOVEYOU", als body "kindly check the attached LOVELETTER coming from me.". Als attachment wordt de kopie van het virus gebruikt die in de TEMP-folder staat. Dit werkt dus alleen als Microsoft Outlook is geïnstalleerd.

  9. De harde schijf wordt doorzocht naar een aantal bestandenstypen.

  10. Wordt er bestand met de extentie vbs of vbe gevonden (visual basic bestand), dan zal het virus zich in het bestand, achter de bestaande code zetten. Hierdoor lijkt het bestand nog te werken.

  11. Bestanden met de extentie js, jse, css, wsh, sct, jpg, jpeg en hta worden verwijderd, en het virus maakt een kopie van zichzelf met dezelfde bestandesnaam als het net verwijderde bestand, alleen dan met de extentie vbs.

  12. Bestanden met de extentie MP2 of MP3 blijven bewaard, maar er wordt wel een kopie van het virus gemaakt met dezelfde naam als het muziekbestand en de extentie vbs. De oorspronkelijke bestanden zullen het hidden attribuut krijgen zodat ze voor de gebruikers met minder PC-kennis verdwenen lijken.

  13. Er wordt gekeken of Mirc geinstalleerd is. Is dit het geval, dan wordt ervoor gezorgd dat het virus naar iedereen in een channel wordt gestuurd, als je die joint.

Het verwijderen van het virus

Om het virus te voorkomen kan je het beste natuurlijk het bestand niet openen, maar Windows Scripting Host uitzetten kan ook. Kies Add/Remove Software in het controlpanel, dan windows setup tab, accessories en verwijder daar Windows Scripting Host.

Om het virus weer weg te krijgen lijkt het mij het handigste om eerst de volgende drie registrykeys te verwijderen:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\Win32DLL
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\WIN-BUGSFIX

Zet daarna de startpagina van internet explorer weer normaal. Verwijder dan voor de zekerheid alle vbs en vbe bestanden die aangemaakt zijn sinds je het virus hebt (weet je dat niet zeker: verwijder liever te veel dan te weinig) en verwijder WIN-BUGSFIX.exe die in je downloaddirectory of op C:\ staat. Als laatste moet je Mirc verwijderen en weer opnieuw installeren als je dat hebt.
Heb je dat allemaal gedaan, dan lijkt het me ook nog wel zo sociaal om even alle kennissen die via E-Mail het virus eventueel van jou hebben gekregen op de hoogte te stellen.

---geript van klikmijniet


#2

oud, staat al op elke anti4us site ed

en geloof ik hier al gepost (herriner me vaag stukje )

wel slim virus moet ik zeggen qua verpreiding, alle emails en via mirc ook


#3

Wie weet hier wat ik met de source code van dit virus kan?


#4

wat dacht je van " look, learn & modify"


#5

Joker007
Je kan misschien 20 jaar in de bak landen.

Een heel simple oplossing is windows scripting uitschakelen.

Of rename wscript.exe naar wscript.bak,kan je geen VBS bestanden opstarten, veilig dus.
Trouwens dit werkt niet in win2000 want die zet keurig dat bestandje terug :frowning:


#6

Maar hoe gek moet je zijn om in zo’n land zo’n risico te lopen.
20 jaar de bak in en een paar miljoen boete zeiden ze bij het nieuws.

hoe zouden die cellen daar zijn ? brrr.


#7


#8

HaHaHaHa


#9

Nou blijken ze volgens het nieuws de verkeerde knakker gepakt te hebben.
niet genoeg bewijs, het BLIJFT lachen