VBS/LoveLetter

VBS/LoveLetter

نام ديگر : VBS/I Love You

اين ويروس که به زبان Visual Basic Script) VBS)نوشته شده است با ضميمه شدن به نامه هاي الکترونيکي منتشر ميشود. با اجراي فايل VBS آلوده آن در محيط Windows هاي 32 بيتي Script درون فايلVBS اجرا شده و ويروس شروع به کار ميکند و ابتدا فايل VBS آلوده را با نامهاي MSKernel32.VBS و Love-letter-for-you.TXT.VBS در مسير System و نيز با نام Win32DLL.VBS در مسير اصلي Windows کپي ميکند.
يک کپي از ويروس نيز با نام Love-letter-for-you.HTM در مسيرSystem ايجاد ميشود. سپس براياينکه در هربار راه اندازي سيستم و هنگام شروع Windows ويروس اجرا شود، فايلهاي آلوده را به صورت زير درRegistry ثبت ميکند :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run

\MSKernel32.VBS مسير دايرکتوري\MSKernel\System

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\

\Win32DLL.VBS مسير دايرکتورياصليRunServices\Win32DLL\Windows

سپس چنانچه فايل WinFat32.EXE در مسير System وجود نداشته باشد يکي از 4 عدد URL زير به صورت تصادفي در Start page نرم افزارInternet Explorer در Registry ثبت ميگردد:

6www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertn MTFwetrdsfmhPnjw587345gvsdf7679njbvYT/WIN-BUGSFIX.exe

www.skyinet.net/~angelcat/skladjflfdjghKJnwetryD GFikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w /WIN-BUGSFIX.exe

www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5 hfFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe

www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqw tuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvn madshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe

با اين کار با اجراي نرم افزار Internet Explorer در صورت برقرار بودن ارتباط با اينترنت و وجود داشتن سايتي با آدرس ثبت شده، فايل WIN-BUGSFIX.EXE بر روي کامپيوتر Download ميشود. سپس اگر اين فايل درمسير فايلهاي Download شده از اينترنت و يا\ : C موجود باشد ويروس اين فايل رابصورت زير در Registry ثبت ميکند تا باهر بار راه اندازي Windows اين فايل اجرا شده و عمليات تخريبي خود را انجام دهد :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run

مسير و نام فايل\WIN-BUGSFIX.EXE

عمليات ارسال ويروس توسط پست الکترونيکي و با استفاده از نرم افزار Outlook Express انجام ميشود به اين صورت که ابتدا نامه اي با عنوان "I love you" و متن

Kindly check the attached LOVELETTER coming from me

ايجاد شده و فايل Love-letter-for-you.TXT.VBS موجود درمسيرSystem به آن اضافه گشته و به آدرسهايي که در کتابچه آدرس(Address book) نرم افزار Outlook Express وجود دارند و قبلا نامه آلوده براي آنها ارسال نشده باشد، فرستاده ميشود. لازم بذکر است که ويروس آدرسهاي پست الکترونيکي را که قبلا به آنها نامه آلوده فرستاده است، درRegistry در قسمت زير ثبت ميکند:

HKEY_LOCAL_USER\Software\Microsoft\WAB

اين ويروس محتواي فايلهاي باپسوند VBS و VBE را کاملا از بين برده و محتواي فايل VBS آلوده را بر روي آنها کپي ميکند. همين کار را بر روي فايلهاي با پسوند SCT ، WSH ، CSS ، JSE ،JS و HTA انجام داده و پسوند آنها را به VBS تغيير ميدهد. بر روي فايلهاي باپسوند JPG و JPEG نيز همين کار را ميکند با اين تفاوت که بدون تغيير پسوند فايل يک پسوند VBS به پسوند قبلي اضافه ميکند. درتمامي موارد فوق محتواي فايلهاي اصلي کاملا از بين رفته و VBS ويروس جايگزين آن ميشود.
در مورد فايلهاي MP3 و MP بدون اينکه محتواي فايلهاي اصلي از بين برود، ويروس يک فايل مخفي همنام با آن فايل و با همان پسوند ولي با يک پسوند اضافي VBS ايجاد کرده و VBS آلوده را در آن مينويسد.

ضمنا در هر مسيري که يکي از فايلهاي MLINK32.EXE ، MIRC32.EXE SCRIPT.INI MIRC.INI و MIRC.HLP وجود داشته باشد، يک فايل به نام SCRIPT.INI ايجاد ميشود که هنگام کار با نرمافزار IRC باعث ارسال فايل LOVE-LETTER-FOR-YOU.HTM از مسير System به طرف مقابل خواهدشد.