'I love you virus' gesignaleerd

Hm, de Tweakers.net nieuws queue staat plotseling vol met meldingen van een "I Love You virus". Het verspreidt zich via e-mail als attachment "loveletterforyou.txt.vbs" (dubbele extensie, have mercy ). Deze text-file schijnt echter een Visual Basic proggie te zijn waarin het virus zit. Hieronder wat info van Miko:

Eerhm.. d'r is hier op de TUE in Eindhoven een lekker e-mail virusje zich aan het verspreiden.

Het e-mailtje bevat een Visual Basic programmaatje, dat je niet moet draaien! Doe je het wel, dan doet-ie vreemde dingen. In ieder geval zichzelf forwarden naar al jouw e-mail adressen in jouw adresboek, maakt zichzelf de startpagina van Explorer (welke op zijn beurt een heleboel VBS code bevat) en zit in de registry te klooien. Veel meer weet ik er nog niet over, maar je bent gewaarschuwd!
[break] Heraut heeft er ook wat info over: [/break] Ik werk zelf bij ******, en sprak net iemand die bij @Home werkt en bij Lucent. Als je een mailtje krijgt met de attachement "loveletterforyou.txt" en je opent die dan stuur hij het mailtje naar iedereen in je adresboek. Bij Lucent kreeg iedereen 4000 mailtjes binnen, bij @Home vele honderden en bij Ordina is het net 5 minuten geleden toegeslagen... Ik kan me niet voorstellen dat het hierbij blijft... [break] Meer meldingen met dezelfde beschrijvingen kwamen binnen van Tspawn en Livingston Computerverhuur
*Update* tazitiz schrijft dat TEQ Nederland een mogelijke fix heeft voor als je inmiddels bent besmet met dit virus. Ik kan niet zeggen of het echt werkt, iemand zou dit effe moeten proberen die al geïnfecteerd is .
[/break] Deze fix niet meer uitvoeren, de virusscanner AntiViral Toolkit Pro voorzien van de laatste update kan inmiddels met het 'I Love You virus' overweg. [break]WebWereld heeft inmiddels ook een klein stukkie over dit virus geschreven. De folks bij IDG blijken er ook al mee te maken hebben gehad:[/break]I Love You.vsb gaat grondig te werk. Nadat het e-mailattachment is geopend, is het leed nauwelijks meer te overzien. Ten eerste vermenigvuldigt het Visual Basic-virus zich door een kopie van zichzelf naar alle contactpersonen in het adresboek te versturen. Deze denken een leuk mailtje van een bekende te krijgen, waarna het weer wordt geopend. Ten tweede – en dit is nog erger – verandert het virus van alles op de computer, zodat er feitelijk weinig anders opzit dan de hele schijf te herformateren. Er worden ongevraagd programma's gedownload. Het eerste wat opvalt is dat de startpagina van de browser zomaar is gewijzigd. Verder worden er allerlei bestanden (MP3, CSS, HTML, JPEG) aangepast, hernoemd tot een .vsb-bestand en onbruikbaar gemaakt. [break]Inmiddels heeft Sophos het een en anders over dit virus geschreven, hieronder wat belangrijke informatie:[/break] The attachment is called "LOVE-LETTER-FOR-YOU.TXT.vbs", which has a "double extension". Mailers which suppress well-known extensions such as .vbs may present this file as "LOVE-LETTER-FOR-YOU.TXT", which appears more innocent. Do not be misled by a trick like this.
Because the virus arrives in a VBS file, it requires the Windows Scripting Host (WSH) in order to work. If you disable WSH, the viral attachment will be rendered harmless.
The virus also drops an HTM file which can spread the virus, and a mIRC script which tries to distribute it. It also tries to download a file called WIN-BUGSFIX.exe from the internet, and injects two copies of its VBS script into the system directory where they are executed each time the computer reboots.
The email component of the virus requires Microsoft Outlook to work. If you are using Outlook it will try to send itself to each entry in your Windows Address Book. Note that following the Sophos Guidelines for Safe Hex will render you almost immune to this attack. If you do not read unusual or unlikely emails and if you have disabled the WSH, then you are unlikely to become infected.
[break]Voor de zekerheid is het dus aan te raden om Windows Scripting Host uit te schakelen (Start/Settings/Control Panel, -> Add/Remove Programs -> Windows Setup tab -> Accessories, uncheck Windows Scripting Host).
[Update 17:25] Inmiddels zijn er al heel wat artikel en updates verschenen over het I Love You virus. Voor de virusscanner Norman Data Defense Systems is een update gepost die geïnfecteerde bestanden detecteert, het programma AntiViral Toolkit Pro kan na een update het virus ook verwijderen. Meer informatie en beschrijvingen is gepost door F-Secure, AVP, Planet Multimedia en WebWereld

IT-banen

Reacties (242)

Bokkie 4 mei 2000 14:18

het cleanscriptje cleant bij mij niet de bestanden op, hij cleant wel de regist5ry, maar de bestanden worden niet weggehaald

Verwijderd 4 mei 2000 14:19

Update:

Zoek met start | zoeken naar alle bestanden die de text ILOVEYOU bevatten en delete deze!!

(nadat je mijn patch gedraaid heb natuurlijk, anders delete hij ook je registry...)

Hij pakt alle .jpg .js .css . mp2 .mp3 ( en nog een paar) bestandjes, gooit daar alles uit, en gooit daar zichzelf in!

die zijn allemaal besmet!!!

Verwijderd 4 mei 2000 14:46

handmatig cleanen

schakel Wscript.exe uit via taskmanager
zoek alle files die "ispyder@mail.com" bevatten (.js, .jse, .css, .wsh, .sct, .hta) (.jpg.vbs, .jpeg.vbs, .mp3.vbs, .mp2.vbs)

er af mieteren!!

delete registrykeys:

HKLM\software\microsoft\windows\currentversion\run\mskernel32

HKLM\software\microsoft\windows\currentversion\run services\win32dll

HKCU\software\microsoft\windows\Internet Explorer\Main\start page

Als WIN-BUGSFIX.EXE op je systeem staat, weg dumpen en delete reg-key HKLM\software\microsoft\windows\currentversion\run\winbugsfix\winbugsfix.exe

check ook ff Mirc scripts met de text : LOVE-LETTER-FOR-YOU.HTM

kijk als laatste nog ff HKCU\Software\Miscrosoft\WAB na voor verdachte dingetjes, heb nog niet helemaal uit gefigured hoe da werkt

Enjoy,

Verwijderd 4 mei 2000 15:01

Even opletten allemaal:
Het gebruiken van een ander mailprogramma dan Outlook zorgt ervoor dat je het virus niet verder verspreid via e-mail, maar de overige delen ervan werken nog wel. Wat er gebeurt is dat de attachment een .vbs file is. Als je deze file opstart zal de met deze extensie geassocieerde applicatie worden opgestart. Bij mijn weten is op _alle_ Windows machines deze extensie geassocieerd met de Windows ScriptingHost. Dit is een soort shell zonder user interface, dus je ziet er niets van.

Als het script in deze file uitgevoerd wordt, gebeuren de volgende dingen:
1) het script wordt naar 3 plaatsen op je systeem gekopieerd
2) in je registry worden er settings gedaan zodat het script iedere keer dat je opstart automatisch gerund wordt
3) een file WIN-BUGFIX.EXE wordt gedownload van het internet en een registry instelling wordt gedaan dat het tijdens het opstarten automatisch gerund wordt
4) voor alle files die op al je directories staan (dus ook netwerk drives die gemapt zijn naar een driveletter) met de extensies .VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .JPG, .JPEG, .MP2 en .MP3 wordt een kopie gemaakt met dezelfde naam maar dan met .vbs erachter, waarin het oorspronkelijke script dus weer staat. In de meeste gevallen zal het oorspronkelijke bestand verwijdert worden.
5) Als je mIRC geinstalleerd hebt, zal de .ini file aangepast worden zodanig dat, zodra je een channel joint, je de scriptfile DCC't naar alle andere mensen op dat channel.
6) Als je Outlook hebt, dan wordt naar alle personen in je adresboek een mailtje gestuurd met dezelfde attachment, zowel in een 'gewone' als in een HTML vorm

Kortom, een slim en heel akelig script. Een manier om het gevaar van verspreiding te verminderen is door in je system directory de file wscript.exe te hernoemen naar _wscript.exe of iets dergelijks.

Overigens kan ik bij de analyse van het script links en rechts nog iets gemist hebben, dus let op. Bovendien weet ik niet wat WIN-BUGFIX.EXE doet (er wordt random een lokatie gekozen uit een lijst van 3 URL's, dus het zouden nogeens verschillende versies kunnen zijn ook).

Coen Rijkaart 4 mei 2000 15:53

Hoi twekers en tweaksters,

wat ik me afvraag:

Als dit virus ook .MP2 & 3 bestanden infecteerd is het dus best mogelijk dat je een geinfecteerd mp3tje binnehaalt (via napster ofzo)

Kan ik op deze manier ook het virus binnenkrijgen of is dan alleen die gedowloade file niet af te luisteren??

Verwijderd 4 mei 2000 16:12

Dit zijn dus de consequenties van dat iedereen dezelfde software van Microsoft gebruikt. En dat doordat MS veel te veel functies inbouwt die bijna niemand gebruikt! Windows Scripting Host, Visual Basic, Active X, het is allemaal heel gevaarlijk en vaak niet nodig

Le Mol 4 mei 2000 16:26

www.tweakers.net is net genoemd op 3 FM (bij Gielhier) als de site om weer van je virus aftekomen

(dmv de instructies die hier staan)

En T.net wordt er f*cking slow van.

10% van de UK servers ligt plat zeiden ze net, ook WOL zou plat zijn

En de ANWB heeft zijn E-mail servers uit voorzorg plat gegooit

Jezus, wat gaat dit topic hard zeg...

Verwijderd 4 mei 2000 16:26

MP3's kunnnen niet geinfecteerd worden!

waarom niet?

de extensie mp3 zit gekoppeld aan je mp3 speler (winamp ofzo) ... die opent 'm gewoon, en behandelt 'm als een mp3, verder nix...

als je een exe renamed naar mp3 wordt hij toch ook niet gestart als je 'm opent?

test zelf maar.

localhost 4 mei 2000 16:33

Sendmail oplossing om "Subjects" te filteren:

ftp://ftp.cert.org/pub/cert_advisories/Patches/CA-99-04-sendmail-melissa-filter.txt

SQUID Proxy oplossing om "het web" te filteren op "vbs":

In squid.conf zetten:
acl vbs-extentions urlpath_regex \.vbs$
http_access deny vbs-extentions

Bokkie 4 mei 2000 16:34

Lifewire:
hij renamed het bestand niet, hij overschrijft het bestand met een kopie van het origniele vbs script ter grootte van 11k
je originele bestand ben je dus gewoon kwijt

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (242)

Sorteer op:

Weergave: