Virus "I love you"

Citation :: Le 4 mai 2000, la prise de conscience est brutale, les médias font leurs gros titres de l'arrivée d'un nouveau virus, pernicieux qui porte un nom qui prête vraiment à confusion, "I love You".

Le virus "I love you" et ses congénères apparut plus récemment, ont provoqué une réaction forte et une prise de conscience des dégâts que peuvent causés ces petits programmes.

Ce fichier décrit le fonctionnement de ce virus et les méthodes de se protéger.

Cette analyse s'inspire d'un message posté sur fr.comp.securite dû à Jean-Claude Bellamy, qui a également placé sur son site un descriptif très intéressant du virus à voir sur : http://www.bellamyjc.net/.

Le virus en question est un VBscript, un langage qui a été développé par Microsoft pour réaliser des macro-commandes sous Windows.

Ce nouveau virus est du type "worm", et se présente dans un Email sous la forme de pièce-jointe nommée "LOVE-LETTER-FOR-YOU.TXT.vbs". Puisque c'est un VBscript, qui a donc tous les risques possibles de s'exécuter sur une plate-forme Windows suffisamment récente.
En particulier Windows 98 et Windows 2000, sur lesquelles WSH - Windows
Script Host - est installé par défaut. Les postes sous Windows 95 et Windows NT4 sur lesquels on n'a pas installé WSH ne risquent rien.

Description du script

(NB: dans tout ce qui suit, est désigné par "\windows" le répertoire principal de Windows, et par "\windows\system" le répertoire système de Windows. C'est à adapter suivant la version - Win9x ou NT/W2k)

1)Préparation de l'exécution

Modification de la base de registre par mise à 0 de la variable :
HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting\Host\Settings\Timeout
NB: Cette variable permet de stopper tout script au bout d'un temps donné., 0 signifie "pas d'arrêt".

2)Recopie locale du virus

Le script se recopie en se renommant, dans les fichiers suivants :

*
\windows\Win32DLL.vbs
*
\windows\system\MSKernel32.vbs
*
\windows\system\LOVE-LETTER-FOR-YOU.TXT.vbs

3)Modification de la base de registre pour auto-relancement

Dans la clé :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Ajout de l'entrée "MSKernel32"
Valeur : "\Windows\system\MSKernel32.vbs"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
(NB: n'existe pas sous Windows NT et Windows 2000)
Ajout de l'entrée "Win32DLL"
Valeur : "\Windows\Win32DLL.vbs
Cela aura pour conséquence de relancer le script/virus à chaque démarrage de Windows

4)Préparation d'autres infections virales

Test d'existence du fichier "\windows\system\winFAT32.exe"
S'il n'existe pas : modification de la page d'accueil de Internet Explorer par modification de la clé :
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page

Cette page pointe alors sur un URL (que VOLONTAIREMENT je ne citerai pas intégralement ici) commençant par "http://www.skyinet.net" et se terminant par "WIN-BUGSFIX.exe"

Il y a 4 adresses possibles, choisies aléatoirement. Les pseudos sont : "~young1s", "~angelcat", "~koichi" et "~chu"

Cette page est donc destinée à télécharger ce programme "WIN-BUGSFIX"qui est un cheval de Troie, qui récupère tous les mots de passe du poste et les envoie par Email à MAILME@SUPER.NET.PH. Cette action est dangereuse sous Windows 9x à cause des fichiers .pwl, facilement craquables, inoffensif sous NT ou W2k car les mots de passe sont stockés et chiffrés autrement)

Ensuite, WIN-BUGSFIX se recopie dans WINDOWS\SYSTEM\WinFAT32.EXE et ajoute une entrée "WinFAT32" dans
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
avec pour valeur "WINDOWS\SYSTEM\WinFAT32.EXE"
Ainsi, ce cheval de Troie sera lancé à chaque démarrage de Windows.

5)Test d'existence du fichier "WIN-BUGSFIX.exe"

S'il existe :
5.1) modification de la base de registre :
Dans la clé :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Ajout de l'entrée : "WIN-BUGSFIX"
Valeur : "%downread%\WIN-BUGSFIX.exe"

5.2) remise à blanc de la page d'accueil de IE
(pour étouffer les soupçons)

6)Création d'un fichier HTML destiné aux correspondants IRC

Le nom de ce fichier est "\windows\system\LOVE-LETTER-FOR-YOU.HTM". Il est titré "LOVELETTER - HTML", et contient un script en VBScript, dont le but est la création d'un fichier "\Windows\system\MSKernel32.vbs" (identique au virus initial). Comme ce fichier HTML contient un VBScript, quand on l'ouvrira, normalement Internet Explorer doit ouvrir une boite de dialogue demandant si on veut exécuter ce composant ActiveX.

Afin d'inciter le "client" à le faire, le fichier HTML affiche ce texte :
"This HTML file need ActiveX Control
"To Enable to read this HTML file"
"Please press 'YES' button to Enable ActiveX"
Et un "marquee" (texte défilant avec "----z------z---") s'affiche indéfiniment.

7)Examen de la messagerie (outlook)

Lecture de la clé HKEY_CURRENT_USER\Software\Microsoft\WAB pour déterminer les carnets d'adresses.

Création d'un message envoyé à toutes les adresses
Sujet : "ILOVEYOU"
Corps : "kindly check the attached LOVELETTER coming from me."
PJ : le fichier "\windows\system\LOVE-LETTER-FOR-YOU.TXT.vbs" (le virus)

8)Infection de fichiers

Examen de tous les disques du PC locaux ET réseau.
Examen de tous les fichiers de chaque répertoire
Suivant les extensions de chaque fichier, l'infection va varier :

*
*.vbs, *.vbe
les contenus de ces fichiers sont remplacés par le virus
*
*.js, *.jse, *.css, *.wsh, *.sct, *.hta,
les contenus de ces fichiers sont remplacés par le virus
De plus, leur extensions sont remplacées par .vbs
*
*.jpg, *.jpeg
les contenus de ces fichiers sont remplacés par le virus
de plus, .vbs est ajouté à leurs extensions
*
*.mp3, *.mp2- un fichier contenant le virus est créé, le nom de ce fichier étant le nom du fichier inital suivi de ".vbs"
- le fichier original reçoit l'attribut "caché"
*
autres extensions :
il ne se passe rien SAUF pour les fichiers suivants :
mirc32.exe
mlink32.exe
mirc.ini
script.ini
mirc.hlp (Ces fichiers témoignent de l'utilisation de IRC)
Dans ce cas, le fichier "script.ini" est (ré)écrit, et contient un script qui envoie à tout correspondant IRC le fichier
\windows\system\LOVE-LETTER-FOR-YOU.HTM

Attitude préventive.

NE PAS OUVRIR CE FICHIER
ou alors, suivre ma méthode : l'enregistrer en supprimant son extension VBS
l'ouvrir AVEC un éditeur de texte
ajouter tout au début la ligne suivante :
quit
(ainsi il ne pourra pas être exécuté)
LE SUPPRIMER!!!

Attitude curative

Au niveau fichiers

Si on l'a exécuté, le MAL EST FAIT!
Si on n'a pas de sauvegarde, on peut dire adieu à tous les .vbs, .js, hta, ... et les JPEG sont atteints.
Quant aux mp3 (ou mp2), rien n'est perdu :
- supprimer tous les "xxxx.mp3.vbs"
- dans une fenêtre de commande, taper la commande
attrib -h *.* de façon à voir réapparaitre les mp3 cachés

Au niveau système

SUPPRIMER LES FICHIERS :

\windows\Win32DLL.vbs
\windows\system\MSKernel32.vbs
\windows\system\LOVE-LETTER-FOR-YOU.TXT.vbs

EDITER LA BASE DE REGISTRE
clés :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Supprimer les entrées :
MSKernel32
WIN-BUGSFIX
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
(sous Windows 9X seulement)
Supprimer l'entrée :
Win32DLL

RECONFIGURER INTERNET EXPLORER
Panneau de configuration Internet
Onglet "Général"
Effacer toute adresse suspecte dans la page de démarrage

Que fait le virus ?

LE plus connu de tous les virus !!! ^^

Par contre : Qu'est ce que ce post vient faire la ???

oé c'est clair

On sait jamais ^^
Je vous rassure qu'il touche que les windows 95, 98 et Nt (2000)

Edit : Aussi je m'intéresse au virus pour pouvoir aider les personne qui ont leur pc infecter ^^

Pour cela il faut savoir comment il fonctionne ^^

am1k6r droite

c'est la variante de l'un des plus destructeur virus, le CIH ou plus connut sous le nom de TCHERNOBYL Smile

a ok bin c'est bon alors cheers

Ah oui am1k6r, le virus supprime le premier Mo du disque dur de la victime, c'est la MBR, le répertoire de tout ton disque dur, s'il ne la plus, il est comme pour ton pc inexistant. Après il essaie de supprimer le bios de ta carte mère, c'est ce que tu vois au tout début quant tu démarre ton pc, s'il n'est plus la, ton pc ne démarre plus.

non !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! c'est se qui met arriver la je viens juste de changer de disque dur je te promet !! rrrrrrr ! saleté de virus !!!!

îl n'est plus en circulation....

bin sa fais 1.5 mois ils on chercher pendant 1 mois et ils leurs a falu 2 semaine pour retrouver un disque dur bounce