Door Arjan van Leeuwen

Werking van het 'I Love You' virus

08-05-2000 • 23:39

63

Werking van het 'I Love You' virus

Tweakers.net bezoeker The Rock (Mark Timmer) heeft aan de hand van de vandaag geposte source code een mooie analyse gemaakt van de werking van het 'I Love You'-virus. Hieronder wordt het allemaal even stap voor stap uiteengezet. Handig voor de mensen die geïnteresseerd zijn én voor die mensen die het virus willen verwijderen.

*De werking van het virus
[updated 9-5-2000]

1. Het virus komt als een mailtje binnen, met als subject "ILOVEYOU", body "kindly check the attached LOVELETTER coming from me." en een attachment "LOVE-LETTER-FOR-YOU.TXT.vbs".

2. Start je het attachment, dan ben je besmet.

3. Het virus kopieert zichzelf drie keer. Eén keer als MSKernel32.vbs in de Windows-folder, één keer als Win32DLL.vbs in de WindowsSystem-folder en één keer als LOVE-LETTER-FOR-YOU.TXT.vbs in de TEMP-folder.

4. Het register wordt aangepast, zodat elke keer bij het opstarten MSKernel32.vbs en Win32DLL.vbs gestart worden (het virus zelf dus).

5. Er wordt gekeken of het bestand WinFAT32.exe in de SYSTEM-folder staat. Is dit niet het geval, dan wordt de startpagina van Internet Explorer ingesteld op het bestand WIN-BUGSFIX.exe op één van de vier adressen op een www.skyinet.net server. Als Netscape gebruikt wordt zal het bestand dus niet gedownload worden.

6. Er wordt gekeken of het bestand WIN-BUGSFIX.exe is gedownload, door te kijken of het in de downloaddirectory staat. Is deze niet aangegeven, dan wordt er op C:\ gekeken.

7. Als het bestand gevonden is, wordt er als startpagina weer een lege pagina gekozen en wordt het register verandert zodat WIN-BUGSFIX.exe steeds gestart wordt bij het starten van Windows. Dit bestand leest alle wachtwoorden in die op je PC staan en mailt deze naar mailme@super.net.ph. Verder maakt het een kopie van zichzelf als WinFAT32.exe in de systemdirectory en wordt het register veranderd zodat ook WinFAT32.exe steeds bij het opstarten geladen worden.

8. Het bestand LOVE-LETTER-FOR-YOU.HTM wordt in de system-folder gezet. Hierin komt een ActiveX-script te staan, die het virus kopieert naar de system-folder als MSKernel32.vbs. Ook verandert dit script het register, zodat het virus steeds bij het opstarten geladen wordt.

9. Er wordt in het register gekeken welke E-Mailadressen allemaal in het Microsoft Outlook adressenboek staan. Naar al deze E-Mailadressen wordt een mailtje gestuurd, met als subject "ILOVEYOU", als body "kindly check the attached LOVELETTER coming from me.". Als attachment wordt de kopie van het virus gebruikt die in de TEMP-folder staat. Dit werkt dus alleen als Microsoft Outlook is geïnstalleerd.

10. De harde schijf wordt doorzocht naar een aantal bestandenstypen.

11. Wordt er bestand met de extentie vbs of vbe gevonden (visual basic bestand), dan zal het virus zich in het bestand, achter de bestaande code zetten. Hierdoor lijkt het bestand nog te werken.

12. Bestanden met de extentie js, jse, css, wsh, sct, jpg, jpeg en hta worden eerst overschreven (zodat ze niet meer terug te krijgen zijn), daarna verwijderd. Dan maakt het virus maakt een kopie van zichzelf met dezelfde bestandsnaam als het net verwijderde bestand, alleen dan met de extentie vbs.

13. Bestanden met de extentie MP2 of MP3 blijven bewaard, maar er wordt wel een kopie van het virus gemaakt met dezelfde naam als het muziekbestand en de extentie vbs. De oorspronkelijke bestanden zullen het hidden attribuut krijgen zodat ze voor de gebruikers met minder PC-kennis verdwenen lijken.

14. Er wordt gekeken of Mirc geinstalleerd is. Is dit het geval, dan wordt ervoor gezorgd dat het net gemaakte HTM-bestand naar iedereen in een channel wordt gestuurd, als je die joint.

*Het verwijderen van het virus

Om het virus te voorkomen kan je het beste natuurlijk het bestand niet openen, maar Windows Scripting Host uitzetten kan ook. Kies Add/Remove Software in het controlpanel, dan windows setup tab, accessories en verwijder daar Windows Scripting Host.

Om het virus weer weg te krijgen lijkt het mij het handigste om eerst de volgende drie registrykeys te verwijderen:
*HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\MSKernel32
*HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\Win32DLL
*HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\WIN-BUGSFIX

Zet daarna de startpagina van internet explorer weer normaal. Verwijder dan voor de zekerheid alle vbs en vbe bestanden die aangemaakt zijn sinds je het virus hebt (weet je dat niet zeker: verwijder liever te veel dan te weinig) en verwijder WIN-BUGSFIX.exe die in je downloaddirectory of op C:\ staat. Als laatste moet je Mirc verwijderen en weer opnieuw installeren als je dat hebt.
Heb je dat allemaal gedaan, dan lijkt het me ook nog wel zo sociaal om even alle kennissen die via E-Mail het virus eventueel van jou hebben gekregen op de hoogte te stellen.

Reacties (63)

63
62
9
0
0
0
Wijzig sortering
Anoniem: 6602 8 mei 2000 21:25
Rock inderdaad een goeie uitleg alleen je vergeet een klein detail. Hij doet dit niet alleen op je hardeschijf die bestanden vervangen enzo maar ook op al je geconnecte netwerk shares en das nog veel erger :) Thats All.
Anoniem: 3689 8 mei 2000 21:40
Even wat antwoorden op een aantal vragen hierboven gesteld:

- Windows Scipting Host kan best een handig progje zijn, aangezien je er bepaalde taken mee kan automatiseren. Zoals bijvoorbeeld een aantal bestanden verwijderen, wat dit virus doet. Het is natuurlijk ook voor andere dingen te gebruiken, waar je wel iets aan hebt. Bijvoorbeeld een scriptje dat elke keer bij het opstarten de temp-directory leegt.

- Aangezien het virus de jpg's gewoon verwijderd, zou ik zeggen dat ze nog terug te krijgen zijn. Of ze in de prullenbak staan weet ik niet, maar ik weet bijna zeker dat een echt undeleteprogramma als Norton Undelete ze weer terug kan krijgen.

- Je kan inderdaad op datum zoeken. Vul hiervoor bij het datumveld in het zoekprogramma van windows bijvoorbeeld files Modified in the last 4 days en zoek hierbij op de bestanden *.vbs;*.vbe.

- Dat andere Windozen met andere directories werken maakt niet uit, aangezien het virus de windows/system/temp-directory uit het register haalt. Dit lukt dus bij elke windows, die Scripting Host heeft geinstalleerd.

- Ik heb dit niet vertaald van één of andere pagina, maar echt helemaal zelf geschreven aan de hand van de broncode.

BTW: Thanx dat iedereen zo enthousiast reageert. Erg leuk.

The Rock
Anoniem: 5472 9 mei 2000 12:31
Bedankt voor de posting the Rock, maar ik had toch verwacht dat de meeste Tweakers het wel konden volgen, het is vrij eenvoudig leesbaar, VB Script....

De WIN-BUGSFIX.exe schijnt overigens password's uit te lezen en deze ergens heen te melen (heb ik ergens gelezen)

The Rock, de bestanden worden niet gedelete, maar overschreven (leeg gegooid en opnieuw gevuld..) als ik me goed heb laten inlichten. Dus daar vind je echt niets meer van terug met Norton Undelete. Dat kan je wel vergeten!

Overigens is er juist van Netwerk drives een dagelijkse backup, itt je harddrive dus da's meestal minder erg. Het gaat hier overigens niet om netwerk shares, maar juist om drive mappings, zonder mappings kan het script niet bij de netwerk shares komen.

* Anoniem: 5472 TheMask
Anoniem: 5472 9 mei 2000 15:24
Nogmaals, M$ de schuld geven is echt onzin.

Als je nou een batch bestand had gekregen dat er als volgt uitzag:

rem voorbeeld batch bestand
deltree c:\*.*
rem einde voorbeeld

had je dan ook M$ de schuld gegeven dat je alles kwijt was na het runnen van dit script???

Nee natuurlijk niet, dan had je jezelf heel dom gevonden!!! nou, dit is precies hetzelfde als nu is gebeurd... maar het gebeurt vooral omdat je het van een bekende krijgt!!!

* Anoniem: 5472 TheMask
Anoniem: 6625 9 mei 2000 15:53
"- TheMask, de bestanden worden wel degelijk gedelete: fso.DeleteFile(f1.path). En er worden wel nieuwe bestanden aangemaakt: cop.copy(f1.path&".vbs") met dus de extentie vbs. "

Het bestaande bestand wordt eerst overschreven met het virus zelf, daarna gekopieerd naar een bestand met dezelfde naam maar met extensie .vbs. Daarna wordt het originele bestand (dat dus al is overschreven) ge-delete. Dus ookal kun je un-deleten, dan is toch de oude data weg en kun je hem alsnog wel weggooien.
Anoniem: 3689 9 mei 2000 20:01
Daar heb je helemaal gelijk in. Wel is het volgens mij zo dat het WIN-BUGSFIX.exe bestand niet zal worden gedownload. Er wordt namelijk in het register hiervoor een key van internet explorer gewijzigd.
Daar zal je dus geen last van hebben, maar inderdaad zullen de bestanden nog wel gewijzigd/verwijderd worden.

Oppassen dus, ook al gebruik je Netscape!
Anoniem: 1160 10 mei 2000 09:52
Ook al gebruik je Netscape i.p.v. IE, en Eudora i.p.v. Outlook, en NIET het Windows Address Book, dan nog zal het virus alle code m.b.t. het verwijderen en aanmaken van bestanden uitvoeren, om de doodeenvoudige reden dat dit helemaal niks met de browser, e-mail of WAB te maken heeft maar helemaal door VBS-code wordt utigevoerd en die heeft voldoende aan het aanwezig zijn van de Windows Scripting Host.
...*hijg*...weer een beetje op adem gekomen

Waarom zit GVD iedereen maar wat in het wilde weg te roepen, over dingen die dit virus al dan niet zou doen? Lees eerst het stuk van The Rock of bekijk de code! En zeg dan pas wat :(
Tweakerbee, kijk hier eens:

msdn.microsoft.com/scripting/default.htm

cwashington.netreach.net/main_site/default.asp?topic=news

Als netwerkbeheerder gebruik ik de scripting host vrij veel, voornamelijk omdat het veel krachtiger is dan batchfiles, geheel silent kan draaien (vandaar de mogelijkheid om er een leuk virusje mee te maken :) ) en je met messageboxes gebruikers vragen kunt stellen of informeren. In Windows 2000 is het de bedoeling dat alle startup/shutdown en login/logout scripts vbscripts zijn. Je kunt zo op basis van groepslidmaatschap gebruikers met schijven en printers verbinden enz.

Ben nu i.v.m. migratie van McAfee Virusscan naar Norton Antivirus bezig met een scriptje wat alle McAfee registry settings eruit gooit, de PC reboot, alle McAfee bestanden eraf gooit en een silent setup van Norton Antivirus start. McAfee Virusscan laat zichzelf dus gewoon compleet van een PC gooien door een vb-scriptje... Hmmmm....
Anoniem: 2807 10 mei 2000 13:12
Even wat aanvulling gelezen op een of andere nieuws site:
Windows 95 heeft van zechzelf geen wcscript maar die wordt wel meegeinstalleerd met IE5. Dus als je IE5 hebt heb je zeer waarschijnlijk ook de WSH (install optie). Verder las ik daar dat enkel outlook 98 en outlook 2000 gebrukt worden als automatische doormailer en niet outlook 97 en outlook express.
De risicogroep is dus mensen met IE5 of WIndows 98 of windows 2000. Anders kun je het virus niet activeren.
Verder wordt je WAB niet gebruikt om door te mailen. Wel iets vaags over als je WAB groter is dan je outlook adres boek wordt ie niet doorgemaild. Punt 9. mag voor mij wel iets duidelijker dus.
MS heeft inmiddels een 'attachement security patch' gemaakt voor outlook.
officeupdate.microsoft.com/downloadDetails/O98attch.htm
Kwoot van MS over voorkomen dergelijke virusinfecties:

Customers can avoid being affected by this virus by following standard best practices:

1 Never run an executable attachment, unless you fully understand its origin and purpose.
2 Always have a good-quality virus scanner
3 Always keep the virus scanner’s signature files up to date.


Geen xcuus!
MS zegt dat je executables niet moet uitvoeren en je anti virus info altijd up to date moet zijn. Dat zou je dus niet gehholpen hebben om het te voorkomen. Ten eerste was het geen executable maar een textfile door het slimme extensie hide systeem van windows. Te tweede was er nog geen virusscanner die het herkende voor het de hele wereld al over was.

Gegroet!
thanx rock, voor de posting, heb hem doorgeschoven naar iedereen in m'n adresboek d.m.v een leuk vbs-scriptje }> (not)
Maarreh, waar is die windows scripting host eigenlijk goed voor? En wordt die geinstalleerd bij een standaard install van win98 of moet je die zelf selecteren?
En weet jij of je verloren jpegjes nog terug kunt halen d.m.v vuilnisbak of undelete of norton undelete ofzo?
Enneh, kun je ook op je pc zoeken naar alle .vbs die zijn gemaakt/gewijzigd na de datum van infectie?

Op dit item kan niet meer gereageerd worden.