VBS/LoveLetter.VeryFunny.a

VBS/LoveLetter.VeryFunny.a

اين ويروس که به زبان (Visual Basic Script) VBS نوشته شده است با ضميمه شدن به نامه هاي الکترونيکي منتشر ميشود. با اجراي فايل VBS آلوده آن در محيط Windows هاي 32 بيتي Script درون فايلVBS اجرا شده و ويروس شروع به کار ميکند و ابتدا فايل VBS آلوده را با نامهاي MSKernel32.VBS و Very Funny.VBS در مسير System و نيز با نام Win32DLL.VBS در مسير اصلي Windows کپي ميکند .
يک کپي از ويروس نيز با نام Very Funny.HTM در مسير System ايجاد ميشود. سپس براي اينکه در هر بار راه اندازي سيستم و هنگام شروع Windows ويروس اجرا شود، فايلهاي آلوده را به صورت زير درRegistry ثبت ميکند:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run

\MSKernel32.VBS مسير دايرکتوري\MSKernel\System

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\

\Win32DLL.VBS مسير دايرکتوري اصليRunServices\Win32DLL\Windows

سپس چنانچه فايل WinFat32.EXE در مسير System وجود نداشته باشد يکي از 4 عدد URL زير به صورت تصادفي در Start page نرم افزارInternet Explorer در Registry ثبت ميگردد :

6www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertn MTFwetrdsfmhPnjw587345gvsdf7679njbvYT/WIN-BUGSFIX.exe

www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDG FikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w /WIN-BUGSFIX.exe

www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5h fFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe

www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtu HJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadsh fgqw237461234iuy7thjg/WIN-BUGSFIX.exe

با اين کار با اجراي نرم افزار Internet Explorer در صورت برقرار بودن ارتباط با اينترنت و وجود داشتن سايتي با آدرس ثبت شده، فايل WIN-BUGSFIX.EXE بر روي کامپيوتر Download ميشود. سپس اگر اين فايل درمسير فايلهاي Download شده از اينترنت و يا\ : C موجود باشد ويروس اين فايل رابصورت زير در Registry ثبت ميکند تا باهر بار راه اندازي Windows اين فايل اجرا شده و عمليات تخريبي خود را انجام دهد:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run

مسير و نام فايل\WIN-BUGSFIX.EXE

عمليات ارسال ويروس توسط پست الکترونيکي و با استفاده از نرمافزار Outlook Express انجام ميشود به اين صورت که ابتدا نامه اي با عنوان Joke" : "fwd و بدون متن ايجاد شده و فايل Very Funny.VBS موجود در مسير System به آن اضافه گشته و به آدرسهايي که در کتابچه آدرس (Address book) نرمافزار Outlook Express وجود دارند و قبلا نامه آلوده براي آنها ارسال نشده باشد، فرستاده ميشود. لازم بذکر است که ويروس آدرسهاي پست الکترونيکي را که قبلا به آنها نامه آلوده فرستاده است، در Registry در قسمت زير ثبت ميکند:

HKEY_LOCAL_USER\Software\Microsoft\WAB

اين ويروس محتواي فايلهاي باپسوند VBS و VBE را کاملاً از بين برده و محتواي فايل VBS آلوده را بر روي آنها کپي ميکند. همين کار را بر روي فايلهاي با پسوند SCT ، WSH ، CSS ، JSE JS و HTA انجام داده و پسوند آنها را به VBS تغيير ميدهد. بر روي فايلهاي باپسوند JPG و JPEG نيز همين کار را ميکند با اين تفاوت که بدون تغيير پسوند فايل يک پسوند VBS به پسوند قبلي اضافه ميکند. درتمامي موارد فوق محتواي فايلهاي اصلي کاملا از بين رفته و VBS ويروس جايگزين آن ميشود.
در مورد فايلهاي MP3 و MP2 بدون اينکه محتواي فايلهاي اصلي از بين برود، ويروس يک فايل مخفي همنام با آن فايل و با همان پسوند ولي با يک پسوند اضافي VBS ايجاد کرده و VBS آلوده را در آن مينويسد. ضمنا در هر مسيري که يکي از فايلهاي MLINK32.EXE ، MIRC32.EXE SCRIPT.INI ،MIRC.INI و MIRC.HLP وجود داشته باشد، يک فايل به نام SCRIPT.INI ايجاد ميشود که هنگام کار با نرم افزار IRC باعث ارسال فايل Very Funny.HTM از مسير System به طرف مقابل خواهد شد.