VBS/LoveLetter.e

VBS/LoveLetter.e

اين ويروس که به زبان (Visual Basic Script) VBS نوشته شده است با ضميمه شدن به نامه هاي الکترونيکي منتشر ميشود. با اجراي فايل VBS آلوده آن در محيط Windows هاي 32 بيتي Script درون فايلVBS اجرا شده و ويروس شروع به کار ميکند و ابتدا فايل VBS آلوده را با نامهاي MSKernel32.VBS و Love-letter-for-you.TXT.VBS در مسير System و نيز با نام Win32DLL.VBS در مسير اصلي Windows کپي ميکند يک کپي از ويروس نيز با نام Love-letter-for-you.HTM در مسيرSystem ايجاد ميشود. سپس براي اينکه در هربار راه اندازي سيستم و هنگام شروع Windows ويروس اجرا شود، فايلهاي آلوده را به صورت زير درRegistry ثبت ميکند:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run

\MSKernel32.VBS مسير دايرکتوري\MSKernel\System

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\

\Win32DLL.VBS مسير دايرکتوري اصليRunServices\Win32DLL\Windows

سپس چنانچه فايل WinFat32.EXE در مسير System وجود نداشته باشد يکي از 4 عدد URL زير به صورت تصادفي در Start page نرمافزارInternet Explorer در Registry ثبت ميگردد:

fgqw237461234iuy7thjg/WIN-BUGSFIX.exe

6www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMT FwetrdsfmhPnjw587345gvsdf7679njbvYT/WIN-BUGSFIX.exe

www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDG FikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w /WIN-BUGSFIX.exe

www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hf FEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe

www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtu HJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadsh

با اين کار با اجراي نرم افزار Internet Explorer در صورت برقرار بودن ارتباط با اينترنت و وجود داشتن سايتي با آدرس ثبت شده ، فايل IN-BUGSFIX.EXE بر روي کامپيوتر Download ميشود. سپس اگر اين فايل درمسير فايلهاي Download شده از اينترنت و يا\ : C موجود باشد ويروس اين فايل رابصورت زير در Registry ثبت ميکند تا با هر بار راه اندازي Windows اين فايل اجرا شده و عمليات تخريبي خود را انجام دهد:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run

مسير و نام فايل\WIN-BUGSFIX.EXE

عمليات ارسال ويروس توسط پست الکترونيکي و با استفاده از نرمافزار Outlook Express انجام ميشود به اين صورت که ابتدا نامه اي با عنوان "I love you" و متن

Kindly check the attached LOVELETTER coming from me

ايجاد شده و فايل Love-letter-for-you.TXT.VBS موجود درمسيرSystem به آن اضافه گشته و به آدرسهايي که در کتابچه آدرس(Address book) نرمافزار Outlook Express وجود دارند و قبلا نامه آلوده براي آنها ارسال نشده باشد، فرستاده ميشود. لازم بذکر است که ويروس آدرسهاي پست الکترونيکي را که قبلا به آنها نامه آلوده فرستاده است درRegistry در قسمت زير ثبت ميکند :

HKEY_LOCAL_USER\Software\Microsoft\WAB

اين ويروس محتواي فايلهاي باپسوند VBS و VBE را کاملا از بين برده و محتواي فايل VBS آلوده را بر روي آنها کپي ميکند. همين کار را بر روي فايلهاي با پسوند SCT ، WSH ، CSS ، JSE JS و HTA انجام داده و پسوند آنها را به VBS تغيير ميدهد. بر روي فايلهاي باپسوند JPG و JPEG نيز همين کار را ميکند با اين تفاوت که بدون تغيير پسوند فايل يک پسوند VBS به پسوند قبلي اضافه ميکند. درتمامي موارد فوق محتواي فايلهاي اصلي کاملا از بين رفته و VBS ويروس جايگزين آن ميشود.
در مورد فايلهاي MP3 و MP2 بدون اينکه محتواي فايلهاي اصلي از بين برود، ويروس يک فايل مخفي همنام با آن فايل و با همان پسوند ولي با يک پسوند اضافي VBS ايجاد کرده و VBS آلوده را در آن مينويسد.
ضمنا در هر مسيري که يکي از فايلهاي MLINK32.EXE ، MIRC32.EXE SCRIPT.INI MIRC.INI و MIRC.HLP وجود داشته باشد، يک فايل به نام SCRIPT.INI ايجاد ميشود که هنگام کار با نرم افزار IRC باعث ارسال فايل LOVE-LETTER-FOR-YOU.HTM از مسير System به طرف مقابل خواهدشد.