Eestis levib massiliselt uus arvutiviirus ja õpetust viirusest vabanemiseks

 (164)
Viirus paljundab ennast sel teel, et võtab adressaadi elektronpostkastist kõik aadressid ja saadab ennast ise edasi. Neljapäeva ennelõunal levis viirus paljudes riigiasutustes ja suurtes erafirmades, teiste hulgas presidendi kantseleis, Ühispangas, nädalalehes Eesti Ekspress, arvutifirmas Helmes, AS-is Tallinna Soojus, Q-GSM-is, Reval Hotel Gorup, Mega.ee-s jpt. Alguse sai viirus tõenäoliselt Filipiinidel.

Arvutiviirusekaitse tarkavara tootja Datafellows hinnangul on viirusest nakatanud enam kui 100000 arvutit üle maailma.

VBS/LoveLetter is on VBScript uss. Levib e-maili abil attachmentiga. Levimiseks kasutab MS OUTLOOK-i ja ka IRC klienti mIRC.

Esimesel käivitamisel kopeerib ta end Windows'i system-kataloogi: - MSKernel32.vbs - LOVE-LETTER-FOR-YOU.TXT.vbs ja ka Windows kataloogi: - Win32DLL.vbs

Siis lisab ta registrisse read, mille abil käivitatakse iga restarti järel see viirus:

HKEY_LOCAL_MACHINE\Software\Micr osoft\Windows\CurrentVersion\ Run\MSKernel32 HKEY_LOCAL_MACHINE\Software\Micr osoft\Windows\CurrentVersion\ RunServices\Win32DLL

Järgmiseks kirjutab viirus üle Internet Exploreri start-lehe, pannes sinna lingi (mille ta valib suvaliselt 4 eri lingi hulgast), mis viitab internetis teatud serveris olevale failile: "WIN-BUGSFIX.exe". Pärast faili alla tirimist paneb viirus ka selle faili automaatselt windows'i käivitavate programmide hulka.

Pärast seda loob viirus faili: "LOVE-LETTER-FOR-YOU.HTM", mille paneb Windows'i system-kataloogi. See htm-fail sisaldab viirust ning seda levitatakse mIRC scripti abil inimesele, kes IRC's viiruseomanikuga samale kanalile siseneb.

Seejärel saadab viirus end igale inimestele sinu aadressiraamatus kujul:
Subjekt: ILOVEYOU
Maili sisu: kindly check the attached LOVELETTER coming from me.
Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs

Seejärel paneb ta registrisse märke, et mass-meilimist enam ei toimuks.

Lisaks otsib viirus arvutist üles kõik failid laienditega ".vbs", ".vbe", ".js", ".jse", ".css", ".wsh", ".sct", ".hta" ning kirjutab need viirusega üle.

Kuidas lahti saada ILOVEYOU viirusest?

NB! Siin on õpetus, kuidas lahti sadaa ILOVEYOU viirusest. Tavakasutajatel soovitame kasutada professionaalide abi ja iseseisvalt mitte midagi ette võtta. DELFI ei vastuta võimalike probleemide eest, mis võivad tekkida kasutades alljärgnevat õpetust.

Avage regedit: start - run - regedit või regedt32 (win2000 kasutajatel soovitavalt see)

Et otsida regeditis edit -> find -> WScript.Shell ja kustuda kõik leitud read

Regeditis kustutada:

  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows Scripting Host\ Settings\Timeout
  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\MSKernel32
  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunServices\Win 32DLL

    Viirus muudab ära ka teie Internet Exporeri settingutes homepage'i
    Võib olla 4 erinevat varianti. Muutmiseks avage IE's tools-> general -> Home Page address -> ja kirjutage http://www.delfi.ee

    Kustutada system kataloogist failid: c:\winnt\system32\MSKernel32.vbs
    c:\winnt\Win32DLL.vbs
    c:\winnt\LOVE-LETTER-FOR-YOU.TXT.vbs

    Otsige ja kustutage kõik *.vbs laiendiga failid: Lisaks otsib viirus sinu arvutist üles kõik failid laienditega vbe, js, jse, css , wsh, sct, hta, jpg, jpeg , mp3, mp2 ning kirjutab need viirusega üle.

    Lisaks kopeerib ta olemasolevaid faile kujul kujul:
    "*.mp2" - "*.mp2.vbs"
    "*.mp3" - "*.mp3.vbs"
    lisaks muudab ta failinimesid:
    "*.jpg" - "*.jpg.vbs"
    "*.jpeg" - "*.jpeg.vbs"

    IRC kasutajatele
    Otsitakse läbi kõik kõvakettad otsides faile mirc32.exe , mlink32.exe või mirc.hlp ja leitud kataloogi tekitatakse uus script script.ini - script käivitudes teeb dcc sendi
    /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM" (dirsystem on siis c:\winnt\system32) samuti tekitatakse registrisse uus key WScript.Shell - otsige see registrist ülesse ja kustutage

    Tuleb lisa....