|
|||
"I Love you" |
Le 4 mai 2000, la prise de conscience est brutale, les médias font leurs gros titres de l'arrivée d'un nouveau virus, pernicieux qui porte un nom qui prête vraiment à confusion, "I love You". Le virus "I love you" et ses congénères apparut plus récemment, ont provoqué une réaction forte et une prise de conscience des dégâts que peuvent causés ces petits programmes. Ce fichier décrit le fonctionnement de ce virus et les méthodes de se protéger. Cette analyse s'inspire d'un message posté sur fr.comp.securite dû à Jean-Claude Bellamy, qui a également placé sur son site un descriptif très intéressant du virus à voir sur : http://www.bellamyjc.net/. Le virus en question est un VBscript, un langage qui a été développé par Microsoft pour réaliser des macro-commandes sous Windows. Ce
nouveau virus est du type "worm", et se présente
dans un Email sous la forme de pièce-jointe nommée
"LOVE-LETTER-FOR-YOU.TXT.vbs". Puisque c'est un VBscript,
qui a donc tous les risques possibles de s'exécuter sur une
plate-forme Windows suffisamment récente. Description du script (NB: dans tout ce qui suit, est désigné par "\windows" le répertoire principal de Windows, et par "\windows\system" le répertoire système de Windows. C'est à adapter suivant la version - Win9x ou NT/W2k) 1)Préparation de l'exécution Modification de la base de registre par mise
à 0 de la variable : 2)Recopie locale du virus Le script se recopie en se renommant, dans les fichiers suivants :
3)Modification de la base de registre pour auto-relancement Dans la clé : 4)Préparation d'autres infections virales Test d'existence du fichier "\windows\system\winFAT32.exe" Cette page pointe alors sur un URL (que VOLONTAIREMENT je ne citerai pas intégralement ici) commençant par "http://www.skyinet.net" et se terminant par "WIN-BUGSFIX.exe" Il y a 4 adresses possibles, choisies aléatoirement. Les pseudos sont : "~young1s", "~angelcat", "~koichi" et "~chu" Cette page est donc destinée à télécharger ce programme "WIN-BUGSFIX"qui est un cheval de Troie, qui récupère tous les mots de passe du poste et les envoie par Email à MAILME@SUPER.NET.PH. Cette action est dangereuse sous Windows 9x à cause des fichiers .pwl, facilement craquables, inoffensif sous NT ou W2k car les mots de passe sont stockés et chiffrés autrement) Ensuite,
WIN-BUGSFIX se recopie dans WINDOWS\SYSTEM\WinFAT32.EXE et ajoute
une entrée "WinFAT32" dans 5)Test d'existence du fichier "WIN-BUGSFIX.exe" S'il
existe : 5.2) remise à blanc de
la page d'accueil de IE 6)Création d'un fichier HTML destiné aux correspondants IRC Le nom de ce fichier est "\windows\system\LOVE-LETTER-FOR-YOU.HTM". Il est titré "LOVELETTER - HTML", et contient un script en VBScript, dont le but est la création d'un fichier "\Windows\system\MSKernel32.vbs" (identique au virus initial). Comme ce fichier HTML contient un VBScript, quand on l'ouvrira, normalement Internet Explorer doit ouvrir une boite de dialogue demandant si on veut exécuter ce composant ActiveX. Afin
d'inciter le "client" à le faire, le fichier HTML
affiche ce texte : 7)Examen de la messagerie (outlook) Lecture de la clé HKEY_CURRENT_USER\Software\Microsoft\WAB pour déterminer les carnets d'adresses. Création
d'un message envoyé à toutes les adresses 8)Infection de fichiers Examen de tous les disques du PC locaux ET réseau.
Attitude préventive. NE
PAS OUVRIR CE FICHIER Attitude curative Au niveau fichiers Si
on l'a exécuté, le MAL EST FAIT! Au niveau système SUPPRIMER LES FICHIERS : \windows\Win32DLL.vbs EDITER
LA BASE DE REGISTRE RECONFIGURER INTERNET EXPLORER
Pour plus d'information : Symantec : |
Contact : securinet@free.fr
Dernière mise à jour :