Tweakers.net bezoeker The Rock (Mark Timmer) heeft aan de hand van de vandaag geposte source code een mooie analyse gemaakt van de werking van het 'I Love You'-virus. Hieronder wordt het allemaal even stap voor stap uiteengezet. Handig voor de mensen die geïnteresseerd zijn én voor die mensen die het virus willen verwijderen.
De werking van het virus
[updated 9-5-2000]
1. Het virus komt als een mailtje binnen, met als subject "ILOVEYOU", body "kindly check the attached LOVELETTER coming from me." en een attachment "LOVE-LETTER-FOR-YOU.TXT.vbs".
2. Start je het attachment, dan ben je besmet.
3. Het virus kopieert zichzelf drie keer. Eén keer als MSKernel32.vbs in de Windows-folder, één keer als Win32DLL.vbs in de WindowsSystem-folder en één keer als LOVE-LETTER-FOR-YOU.TXT.vbs in de TEMP-folder.
4. Het register wordt aangepast, zodat elke keer bij het opstarten MSKernel32.vbs en Win32DLL.vbs gestart worden (het virus zelf dus).
5. Er wordt gekeken of het bestand WinFAT32.exe in de SYSTEM-folder staat. Is dit niet het geval, dan wordt de startpagina van Internet Explorer ingesteld op het bestand WIN-BUGSFIX.exe op één van de vier adressen op een www.skyinet.net server. Als Netscape gebruikt wordt zal het bestand dus niet gedownload worden.
6. Er wordt gekeken of het bestand WIN-BUGSFIX.exe is gedownload, door te kijken of het in de downloaddirectory staat. Is deze niet aangegeven, dan wordt er op C:\ gekeken.
7. Als het bestand gevonden is, wordt er als startpagina weer een lege pagina gekozen en wordt het register verandert zodat WIN-BUGSFIX.exe steeds gestart wordt bij het starten van Windows. Dit bestand leest alle wachtwoorden in die op je PC staan en mailt deze naar mailme@super.net.ph. Verder maakt het een kopie van zichzelf als WinFAT32.exe in de systemdirectory en wordt het register veranderd zodat ook WinFAT32.exe steeds bij het opstarten geladen worden.
8. Het bestand LOVE-LETTER-FOR-YOU.HTM wordt in de system-folder gezet. Hierin komt een ActiveX-script te staan, die het virus kopieert naar de system-folder als MSKernel32.vbs. Ook verandert dit script het register, zodat het virus steeds bij het opstarten geladen wordt.
9. Er wordt in het register gekeken welke E-Mailadressen allemaal in het Microsoft Outlook adressenboek staan. Naar al deze E-Mailadressen wordt een mailtje gestuurd, met als subject "ILOVEYOU", als body "kindly check the attached LOVELETTER coming from me.". Als attachment wordt de kopie van het virus gebruikt die in de TEMP-folder staat. Dit werkt dus alleen als Microsoft Outlook is geïnstalleerd.
10. De harde schijf wordt doorzocht naar een aantal bestandenstypen.
11. Wordt er bestand met de extentie vbs of vbe gevonden (visual basic bestand), dan zal het virus zich in het bestand, achter de bestaande code zetten. Hierdoor lijkt het bestand nog te werken.
12. Bestanden met de extentie js, jse, css, wsh, sct, jpg, jpeg en hta worden eerst overschreven (zodat ze niet meer terug te krijgen zijn), daarna verwijderd. Dan maakt het virus maakt een kopie van zichzelf met dezelfde bestandsnaam als het net verwijderde bestand, alleen dan met de extentie vbs.
13. Bestanden met de extentie MP2 of MP3 blijven bewaard, maar er wordt wel een kopie van het virus gemaakt met dezelfde naam als het muziekbestand en de extentie vbs. De oorspronkelijke bestanden zullen het hidden attribuut krijgen zodat ze voor de gebruikers met minder PC-kennis verdwenen lijken.
14. Er wordt gekeken of Mirc geinstalleerd is. Is dit het geval, dan wordt ervoor gezorgd dat het net gemaakte HTM-bestand naar iedereen in een channel wordt gestuurd, als je die joint.
Het verwijderen van het virus
Om het virus te voorkomen kan je het beste natuurlijk het bestand niet openen, maar Windows Scripting Host uitzetten kan ook. Kies Add/Remove Software in het controlpanel, dan windows setup tab, accessories en verwijder daar Windows Scripting Host.
Om het virus weer weg te krijgen lijkt het mij het handigste om eerst de volgende drie registrykeys te verwijderen:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\Win32DLL
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\WIN-BUGSFIX
Zet daarna de startpagina van internet explorer weer normaal. Verwijder dan voor de zekerheid alle vbs en vbe bestanden die aangemaakt zijn sinds je het virus hebt (weet je dat niet zeker: verwijder liever te veel dan te weinig) en verwijder WIN-BUGSFIX.exe die in je downloaddirectory of op C:\ staat. Als laatste moet je Mirc verwijderen en weer opnieuw installeren als je dat hebt.
Heb je dat allemaal gedaan, dan lijkt het me ook nog wel zo sociaal om even alle kennissen die via E-Mail het virus eventueel van jou hebben gekregen op de hoogte te stellen.