Cliquez pour atteindre la page correspondante...

La sécurité sur le Net

Les virus :
"I love you"

 

Introduction

Histoire

La loi

Types

Fonctionnement

Conséquences

Prévention

Antivirus

"I Love you"
 

Les Troyens

 

Le 4 mai 2000, la prise de conscience est brutale, les médias font leurs gros titres de l'arrivée d'un nouveau virus, pernicieux qui porte un nom qui prête vraiment à confusion, "I love You".

Le virus "I love you" et ses congénères apparut plus récemment, ont provoqué une réaction forte et une prise de conscience des dégâts que peuvent causés ces petits programmes.

Ce fichier décrit le fonctionnement de ce virus et les méthodes de se protéger.

Cette analyse s'inspire d'un message posté sur fr.comp.securite dû à Jean-Claude Bellamy, qui a également placé sur son site un descriptif très intéressant du virus à voir sur : http://www.bellamyjc.net/.

Le virus en question est un VBscript, un langage qui a été développé par Microsoft pour réaliser des macro-commandes sous Windows.

Ce nouveau virus est du type "worm", et se présente dans un Email sous la forme de pièce-jointe nommée "LOVE-LETTER-FOR-YOU.TXT.vbs". Puisque c'est un VBscript, qui a donc tous les risques possibles de s'exécuter sur une plate-forme Windows suffisamment récente.
En particulier Windows 98 et Windows 2000, sur lesquelles WSH - Windows
Script Host - est installé par défaut. Les postes sous Windows 95 et Windows NT4 sur lesquels on n'a pas installé WSH ne risquent rien.

Description du script

(NB: dans tout ce qui suit, est désigné par "\windows" le répertoire principal de Windows, et par "\windows\system" le répertoire système de Windows. C'est à adapter suivant la version - Win9x ou NT/W2k)

1)Préparation de l'exécution

Modification de la base de registre par mise à 0 de la variable :
HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting\Host\Settings\Timeout
NB: Cette variable permet de stopper tout script au bout d'un temps donné., 0 signifie "pas d'arrêt".

2)Recopie locale du virus

Le script se recopie en se renommant, dans les fichiers suivants :

  • \windows\Win32DLL.vbs
  • \windows\system\MSKernel32.vbs
  • \windows\system\LOVE-LETTER-FOR-YOU.TXT.vbs

3)Modification de la base de registre pour auto-relancement

Dans la clé :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Ajout de l'entrée "MSKernel32"
Valeur : "\Windows\system\MSKernel32.vbs"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
(NB: n'existe pas sous Windows NT et Windows 2000)
Ajout de l'entrée "Win32DLL"
Valeur : "\Windows\Win32DLL.vbs
Cela aura pour conséquence de relancer le script/virus à chaque démarrage de Windows

4)Préparation d'autres infections virales

Test d'existence du fichier "\windows\system\winFAT32.exe"
S'il n'existe pas : modification de la page d'accueil de Internet Explorer par modification de la clé :
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page

Cette page pointe alors sur un URL (que VOLONTAIREMENT je ne citerai pas intégralement ici) commençant par "http://www.skyinet.net" et se terminant par "WIN-BUGSFIX.exe"

Il y a 4 adresses possibles, choisies aléatoirement. Les pseudos sont : "~young1s", "~angelcat", "~koichi" et "~chu"

Cette page est donc destinée à télécharger ce programme "WIN-BUGSFIX"qui est un cheval de Troie, qui récupère tous les mots de passe du poste et les envoie par Email à MAILME@SUPER.NET.PH. Cette action est dangereuse sous Windows 9x à cause des fichiers .pwl, facilement craquables, inoffensif sous NT ou W2k car les mots de passe sont stockés et chiffrés autrement)

Ensuite, WIN-BUGSFIX se recopie dans WINDOWS\SYSTEM\WinFAT32.EXE et ajoute une entrée "WinFAT32" dans
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
avec pour valeur "WINDOWS\SYSTEM\WinFAT32.EXE"
Ainsi, ce cheval de Troie sera lancé à chaque démarrage de Windows.

5)Test d'existence du fichier "WIN-BUGSFIX.exe"

S'il existe :
5.1) modification de la base de registre :
Dans la clé :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Ajout de l'entrée : "WIN-BUGSFIX"
Valeur : "%downread%\WIN-BUGSFIX.exe"

5.2) remise à blanc de la page d'accueil de IE
(pour étouffer les soupçons)

6)Création d'un fichier HTML destiné aux correspondants IRC

Le nom de ce fichier est "\windows\system\LOVE-LETTER-FOR-YOU.HTM". Il est titré "LOVELETTER - HTML", et contient un script en VBScript, dont le but est la création d'un fichier "\Windows\system\MSKernel32.vbs" (identique au virus initial). Comme ce fichier HTML contient un VBScript, quand on l'ouvrira, normalement Internet Explorer doit ouvrir une boite de dialogue demandant si on veut exécuter ce composant ActiveX.

Afin d'inciter le "client" à le faire, le fichier HTML affiche ce texte :
"This HTML file need ActiveX Control
"To Enable to read this HTML file"
"Please press 'YES' button to Enable ActiveX"
Et un "marquee" (texte défilant avec "----z------z---") s'affiche indéfiniment.

7)Examen de la messagerie (outlook)

Lecture de la clé HKEY_CURRENT_USER\Software\Microsoft\WAB pour déterminer les carnets d'adresses.

Création d'un message envoyé à toutes les adresses
Sujet : "ILOVEYOU"
Corps : "kindly check the attached LOVELETTER coming from me."
PJ    : le fichier "\windows\system\LOVE-LETTER-FOR-YOU.TXT.vbs" (le virus)

8)Infection de fichiers

Examen de tous les disques du PC locaux ET réseau.
Examen de tous les fichiers de chaque répertoire
Suivant les extensions de chaque fichier, l'infection va varier :

  • *.vbs, *.vbe
    les contenus de ces fichiers sont remplacés par le virus
  • *.js, *.jse, *.css, *.wsh, *.sct, *.hta,
    les contenus de ces fichiers sont remplacés par le virus
    De plus, leur extensions sont remplacées par .vbs
  • *.jpg, *.jpeg
    les contenus de ces fichiers sont remplacés par le virus
    de plus, .vbs est ajouté à leurs extensions
  • *.mp3, *.mp2- un fichier contenant le virus est créé, le nom de ce fichier étant le nom du fichier inital suivi de ".vbs"
    - le fichier original reçoit l'attribut "caché"
  • autres extensions :
    il ne se passe rien SAUF pour les fichiers suivants :
    mirc32.exe
    mlink32.exe
    mirc.ini
    script.ini
    mirc.hlp  (Ces fichiers témoignent de l'utilisation de IRC)
    Dans ce cas, le fichier "script.ini" est (ré)écrit, et contient un script qui envoie à tout correspondant IRC le fichier
    \windows\system\LOVE-LETTER-FOR-YOU.HTM

Attitude préventive.

NE PAS OUVRIR CE FICHIER
ou alors, suivre ma méthode : l'enregistrer en supprimant son extension VBS
l'ouvrir AVEC un éditeur de texte
ajouter tout au début la ligne suivante :
quit
(ainsi il ne pourra pas être exécuté)
LE SUPPRIMER!!!

Attitude curative

Au niveau fichiers

Si on l'a exécuté, le MAL EST FAIT!
Si on n'a pas de sauvegarde, on peut dire adieu à tous les .vbs, .js, hta, ... et les JPEG sont atteints.
Quant aux mp3 (ou mp2), rien n'est perdu :
- supprimer tous les "xxxx.mp3.vbs"
- dans une fenêtre de commande, taper la commande
attrib -h *.*   de façon à voir réapparaitre les mp3 cachés

Au niveau système

SUPPRIMER LES FICHIERS :

\windows\Win32DLL.vbs
\windows\system\MSKernel32.vbs
\windows\system\LOVE-LETTER-FOR-YOU.TXT.vbs

EDITER LA BASE DE REGISTRE
clés :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Supprimer les entrées :
MSKernel32
WIN-BUGSFIX
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
(sous Windows 9X seulement)
Supprimer l'entrée :
Win32DLL

RECONFIGURER INTERNET EXPLORER
Panneau de configuration Internet
Onglet "Général"
Effacer toute adresse suspecte dans la page de démarrage

 

Pour plus d'information :

Symantec :
http://www.symantec.com/avcenter/venc/data/vbs.loveletter.a.html
DrSolomon
http://www.drsolomon.com/home/vbslove.htm
Yahoo :
http://fr.news.yahoo.com/000504/32/d2fj.html

Retour haut

Contact : securinet@free.fr

Dernière mise à jour :