Eestis levib massiliselt uus arvutiviirus ja õpetust viirusest vabanemiseks
Arvutiviirusekaitse tarkavara tootja Datafellows hinnangul on viirusest nakatanud enam kui 100000 arvutit üle maailma.
VBS/LoveLetter is on VBScript uss. Levib e-maili abil attachmentiga. Levimiseks kasutab MS OUTLOOK-i ja ka IRC klienti mIRC.
Esimesel käivitamisel kopeerib ta end Windows'i system-kataloogi: - MSKernel32.vbs - LOVE-LETTER-FOR-YOU.TXT.vbs ja ka Windows kataloogi: - Win32DLL.vbs
Siis lisab ta registrisse read, mille abil käivitatakse iga restarti järel see viirus:
HKEY_LOCAL_MACHINE\Software\Micr osoft\Windows\CurrentVersion\ Run\MSKernel32 HKEY_LOCAL_MACHINE\Software\Micr osoft\Windows\CurrentVersion\ RunServices\Win32DLL
Järgmiseks kirjutab viirus üle Internet Exploreri start-lehe, pannes sinna lingi (mille ta valib suvaliselt 4 eri lingi hulgast), mis viitab internetis teatud serveris olevale failile: "WIN-BUGSFIX.exe". Pärast faili alla tirimist paneb viirus ka selle faili automaatselt windows'i käivitavate programmide hulka.
Pärast seda loob viirus faili: "LOVE-LETTER-FOR-YOU.HTM", mille paneb Windows'i system-kataloogi. See htm-fail sisaldab viirust ning seda levitatakse mIRC scripti abil inimesele, kes IRC's viiruseomanikuga samale kanalile siseneb.
Seejärel saadab viirus end igale inimestele sinu aadressiraamatus kujul:
Subjekt: ILOVEYOU
Maili sisu: kindly check the attached LOVELETTER coming from me.
Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs
Seejärel paneb ta registrisse märke, et mass-meilimist enam ei toimuks.
Lisaks otsib viirus arvutist üles kõik failid laienditega ".vbs", ".vbe", ".js", ".jse", ".css", ".wsh", ".sct", ".hta" ning kirjutab need viirusega üle.
Kuidas lahti saada ILOVEYOU viirusest?
Siin on õpetus, kuidas lahti sadaa ILOVEYOU viirusest. Tavakasutajatel soovitame kasutada professionaalide abi ja iseseisvalt mitte midagi ette võtta. DELFI ei vastuta võimalike probleemide eest, mis võivad tekkida kasutades alljärgnevat õpetust.
Avage regedit: start - run - regedit või regedt32 (win2000 kasutajatel soovitavalt see)
Et otsida regeditis edit -> find -> WScript.Shell ja kustuda kõik leitud read
Regeditis kustutada:
Viirus muudab ära ka teie Internet Exporeri settingutes homepage'i
Võib olla 4 erinevat varianti. Muutmiseks avage IE's tools-> general -> Home Page address -> ja kirjutage http://www.delfi.ee
Kustutada system kataloogist failid:
c:\winnt\system32\MSKernel32.vbs
c:\winnt\Win32DLL.vbs
c:\winnt\LOVE-LETTER-FOR-YOU.TXT.vbs
Otsige ja kustutage kõik *.vbs laiendiga failid: Lisaks otsib viirus sinu arvutist üles kõik failid laienditega vbe, js, jse, css , wsh, sct, hta, jpg, jpeg , mp3, mp2 ning kirjutab need viirusega üle.
Lisaks kopeerib ta olemasolevaid faile kujul kujul:
"*.mp2" - "*.mp2.vbs"
"*.mp3" - "*.mp3.vbs"
lisaks muudab ta failinimesid:
"*.jpg" - "*.jpg.vbs"
"*.jpeg" - "*.jpeg.vbs"
IRC kasutajatele
Otsitakse läbi kõik kõvakettad otsides faile mirc32.exe , mlink32.exe või
mirc.hlp ja leitud kataloogi tekitatakse uus script script.ini - script käivitudes
teeb dcc sendi
/.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM" (dirsystem on siis
c:\winnt\system32) samuti tekitatakse registrisse uus key WScript.Shell - otsige see registrist ülesse ja kustutage
Tuleb lisa....