« Hem

Avdelningar
 » Film & TV
 » Internet
 » Spel
 » Teknik


Resurser
 » Arkiv
 » Forum
 » Nyhetsbrev
 » Tävlingar


Övrigt
 » Annonsera
 » Hjälp
 » In English
 » Om oss

Nytt mailvirus slår till

Ett virus kallat "I LOVE YOU" sprids nu som en löpeld. Viruset är en så kallad "Visual Basic Script Worm" och utnyttjar sårbarheten i operativsystemen Windows 95/98 och Windows NT.




Ett virus kallat "I LOVE YOU" sprids nu som en löpeld. Viruset är en så kallad "Visual Basic Script Worm" och utnyttjar sårbarheten i operativsystemen Windows 95/98 och Windows NT. Med Windows 95/98 och det ökande numret av internetanslutningar har det blivit allt vanligare med den här typen av virus.

Den som får ett e-mail som ser ut enligt följande bör se upp:

subject: ILOVEYOU

När man läser mailet står följande text:
"kindly check the attached LOVELETTER coming from me".

Som filattachment till mailet finns en fil kallad "LOVE-LETTER-FOR-YOU.TXT.vbs".

Denna fil har en så kallad "double-extension" vilket innebär att i vissa mailprogram ser filen endast ut att heta "LOVE-LETTER-FOR-YOU.TXT" (se Bild 2 till höger), vilket gör ett mer harmlöst intryck. Låt dig inte luras av detta, det är samma fil och öppnar du den har du aktiverat viruset.

VBS-ändelsen innebär att filen är ett så kallat Visual Basic Script. VBS-filer exekveras genom programet WSCRIPT.EXE (Windows Scripting Host, WSH) som ligger i WINDOWS-katalogen.

C:\WINDOWS\WSCRIPT.EXE


Hur fungerar LOVELETTER?
Viruset attackerar olika filtyper på olika sätt. Filer med ändelser ".js", ".css", ".jse", ".wsh", ".hta" och ".sct" skapar viruset en ny fil med samma namn fast med ändelsen ".vbs".

En fil som t.ex heter bild.jpg blir bild.vbs efter det att viruset är aktivt. Den ursprungliga filen tas bort. Detta går blixtsnabbt och användaren har lite hopp om att upptäcka något innan det är försent. Det finns exempel där företag förlorat GIGABYTE med data (t.ex JPEG-bilder, eller MP3 för musikbranschen) på bara några minuter efter det att ILOVEYOU attackerat.

Därefter letar viruset efter filer med ändelser ".jpg", ".jpeg", ".mp3" och ".mp2". Den skapar en ny fil med samma namn fast med ändelsen .vbs och tar bort den gamla filen (gömmer filen ifall det är en mp3/mp2).

Exempelvis blir musik.mp3 därmed kallad musik.mp3.vbs eller musikmp3.vbs
Viruset kan även ändra filrättigheterna MP3/JPG filer till "System" vilket innebär att filerna blir osynliga för Windows.

Obekräftade uppgifter gör gällande att viruset kan påverka samtliga lokala enheter (t.ex hårddiskar och cd-spelare) samt även nätverksenheter. Detta går blixtsnabbt och en ouppmärksam användare märker inte något. Man märker dock en onormalt stor hårddiskaktivitet (när viruset går igenom filerna på hårddisken) och ifall man ser vilka program som är aktiva (genom att trycka CTRL-ALT-DEL) ser man att WSCRIPT körs.

Om man därför döper om WSCRIPT.EXE till ett annat namn kan viruset inte köras. Detta är dock bara en kortsiktig lösning.

När datorn väl är infekterat startas steg 2. Viruset skickar ut ett likadant e-mail som det användaren kört till ALLA personer i adressboken i Outlook Express (ej känt i skrivande stund om det påverkar andra e-mail klienter). Detta innebär att viruset förökar och sprider sig blixtsnabbt. Viruset infekterar även chat-programmet mIRC vilket leder till att viruset sprids ytterligare över IRC-chat.


Registret infekterat
Windows så kallade "register" vilket styr Windows-startup process, inställningar m.m. är även det infekterat. Följande nycklar är påverkade

HKLM\SOFTWARE\Microsoft\Windows\Current
Version\Run\MSKernel32 (c:\windows\system\MSkernel32.vbs)

HKLM\SOFTWARE\Microsoft\Windows\Current
Version\Runservices\MSKernel32 sy(c:\windows\Win32DLL.vbs)


Följande filer kopieras av i viruset in i Windows:

C:\WINDOWS\SYSTEM\MSKernel32.vbs
C:\WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.vbs
C:\WINDOWS\Win32Dll.vbs

Vem ligger bakom?
ILOVEYOU är ett relativt "simpelt" virus rent tekniskt sett. Det är exempelvis inte rent programmerat utan snarare ett så kallat "script" (en rad kommandon i en textfil som kräver ett utomstående program för att köras). Många framstående virusprogrammerare "ser ner" på den här typen av virus eftersom det brukar anses för "enkla" och inte tillräckligt destruktiva.

När ett virus får sådan här genomslagskraft uppstår alltid frågan. Vem har gjort det? Ingen vet med säkerhet men man spekulerar i att det är någon enklare, inte så erfaren programmerare som ligger bakom viruset. Viruset misstänks komma från Filippinerna och det mesta tyder på att det är någon tonåring som ligger bakom p.g.a den enkla konstruktionen (se Bild 2 till höger). Viruskällkoden innehåller bl.a följande text som kanske avslöja vem virusförfattaren är:

barok -loveletter(vbe)
by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines


Hur skyddar man sig?
Det bästa sättet är att inte läsa någon mystisk e-mail. Framförallt skall man undvika mail där det står "ILOVEYOU" eller liknande i subject-linjen. Man skall absolut inte öppna bifogade filer till sådana mail. Det säkraste är att omedelbart radera liknande e-mail innan de hinner orsaka någon skada.

För den som redan är drabbad av ILOVEYOU återstår bara att försöka minimera skadorna. Det finns redan en så kallad "cleaner" för att oskadligöra viruset. Holländska TEQ var första företag att producera en "cleaner" för LoveLetter (eller ILOVEYOU som viruset också kallas).

TEQs cleaner hittar du här

Symantecs analys

Datafellows analys

F-Secures analys


OBS! Allamedia tar EJ ansvar för eventuella skador som uppstår efter nedladdning av program eller information från följande sidor.

Intresserad av Internet? Prenumerera på vårt GRATIS nyhetsbrev:

 

Tillbaka Upp Skicka Diskutera
 

Youtube fylls med gratis långfilmer
Sopcast gratis fotboll är gott?
Viaplay fotboll i din PC-dator och TV.
Viaplay: Sport, filmer, tv i din mobil, PC och TV
Politiskt inkorrekta uppstickare hotar gammelmedia?
Bredbandsbolaget ger support i snigelfart
Wordpress, Drupal eller Joomla gratis CMS för sajten?
Mobilt bredband värt att satsa på?
Bredbandsbolaget har problem med ADSL och telefoni
Ipredator








  © 2005 Arealia AB.
  Om oss | Sekretesspolicy