вирус i love you

Ответ от Xsenocron[гуру]
I Love You
Согласно данным компании F-Secure, вирус, который распространяется через электронные почтовые сообщения, содержащие в поле "Тема" письма запись "I Love You" или "Love Letter", впервые появился 4 мая в Азии. Вероятным источником его происхождения являются Филиппины.
По мнению экспертов, вирус I Love You может принести много больше неприятностей, чем печально известная Melissa.
По мнению Мико Хиппонена (Mikko Hypponen), руководителя исследовательской группы F-Secure, за пять последних лет еще не было вируса, столь быстро и глобально распространявшегося бы по миру: "За четыре часа со времени первого тревожного сообщения из Норвегии, поступившего в 9 утра по Гринвичу, в F-Secure уже есть данные о вирусе из более 20 стран".
Вирус распространяется как присоединенный файл (аттачмент) к электронным почтовым сообщениям под именем "Love-Letter-For-You" и поражает пользователей популярной почтовой программы Microsoft Outlook. I Love You "отправляет себя" всем респондентам из адресной книги жертвы.
Согласно Хиппонену, наибольшей опасности подвержены издательства и средства массовой информации, включая радиостанции, журналы, рекламные агенства и, в частности, те из них, кто владеет большими архивами графических и музыкальных файлов: "Большие издательства, в которые сегодня проник вирус, полностью потеряли свои фотоархивы. Это связано с тем, что I Love You удаляет определенные типы файлов, и апгрейд антивирусной базы данных позволяет удалить вирус, но не может остановить уже начавшийся процесс его разрушительного действия. Если у вас нет резервной копии файлов вне зараженной машины, считайте, что вы все потеряли".
Уже есть информация, что почтовые сообщения с I Love You были получены в Пентагоне, Федеральном Резервном Банке, Министерстве обороны США; ФБР начало расследование причин и источников распространения вируса.
Что происходит
При первом запуске вируса он копирует себя в следующие директории:
WINDOWSSYSTEMMSKERNEL32.VBS
WINDOWSWIN32DLL.VBS
WINDOWSSYSTEMLOVE-LETTER-FOR-YOU.TXT.VBS
и добавляет следующие регистрационные ключи:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunMSKernel32=WINDOWSSYSTEMMSKernel32.vbs
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServicesWin32DLL=WINDOWSWin32DLL.vbs
I Love You сканирует все диски, доступ к которым можно осуществить с данной машины, в поисках файлов *.JPG и *.JPEG. Найдя их, вирус копирует себя в файлы и добавляет расширение .VBS (т. е. файл 123.JPG становится 123.JPG.VBS). Кроме того, вирус записывает себя во все файлы *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.HTA и изменяет их расширения на .VBS. При нахождении файлов *.MP3 и *.MP2, I Love You заменяет код, добавляет свое расширение и делает файл невидимым.
После небольшой паузы вирус, используя Microsoft Outlook, отправляет себя всем респондентам из адресной книги программы, а также пытается загрузить и установить программу для кражи паролей WIN-BUGSFIX.EXE, которая должна, по замыслу, найти все скешированнные пароли и отправить их по адресу MAILME@SUPER.NET.PH . Для этого вирус заменяет домашнюю страницу браузера Microsoft Internet Explorer на адрес вебсайта, автоматически загружающего на машину троянца. Если это происходит, в Реестре появляется ключ
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunWIN-BUGSFIX,
который автоматически запустит программу для кражи паролей при включении ОС. При этом троянец копирует себя в
WINDOWSSYSTEMWinFAT32.EXE
и заменяет соответствующий ключ Реестра на
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunWinFAT32=WinFAT32.EXE.