ILOVEYOU

Miko Imre imre.miko at sysdata.siemens.hu
Thu May 4 15:44:28 CEST 2000 

Gabor Borjan wrote:

> kindly check the attached LOVELETTER coming from me.
>
>   ----------------------------------------------------------------------------------------------------
>                                   Name: LOVE-LETTER-FOR-YOU.TXT.vbs
>    LOVE-LETTER-FOR-YOU.TXT.vbs    Type: unspecified type (application/octet-stream)
>                               Encoding: quoted-printable

Ugy latom pont most fertozodted meg magad a LOVELETTER e-mail
virussal. Outlook alatt az ilyen fejlecu leveleket ne nyissatok meg,
ha megis a kovetkezot lehet tenni:


A virus a LoveLetter nevre hallgat, az attachment megnyitasakor
tobb dolgot csinal. Eloszor bemasolja magat az alabbi fajokba:

   Windows/SYSTEM32/MSKernel32.vbs
   Windows/SYSTEM32/LOVE-LETTER-FOR-YOU.TXT.vbs
   Windows/Win32DLL.vbs
   Windows/LOVE-LETTER-FOR-YOU.HTM
(A Windows a mindenkori Windows fokonyvtarat jelenti, pl. c:\windows,
c:\winnt)

Ezutan felulir minden:
   VBS, VBE kiterjesztesu filet onmagaval.
   JS,JSE, CSS, WSH, SCT, HTA, MP2, MP3, JPG, JPEG
   file-ok melle letrehoz egy ugyanolyan nevu filet, vbs kiterjesztessel,
   pl.: pic.jpg-bol lesz pic.jpg.vbs ezeket is torolni kell, itt mindenkeppen
   szamolhatunk adatvesztessel. (Torles: Start/Kereses, kijelol, torles,
   adott esetben Recycle Bin uritese)

mIRC-nel a script.ini-t is felulirja, ezt is torolni kell.

A kovetkezo registry bejegyzeseket modositja (az egyes Windows verzioktol
fuggoen egyik vagy masik bejegyzes nem letezik):

   HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
     Ezt a bejegyzest torolni kell.

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL
     Ezt a bejegyzest torolni kell.

   HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download Directory
     A virus ezt "C:\"-re modositja

   HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
     A virus ezt tobb sajat cim valamelyikere modositja, legjobb, ha
     visszaallitjuk "about:blank"-re.

Az utolso bejegyzesben a virus atirja az Internet Explorer kezdooldalat,
amikor is letolt az internetrol egy exet, amit ha futatunk, az is elindul
es elkezdi gyujteni a gepen a passwordoket, amit idonkent elkuld a virus
irojanak. Tehat, ha az Iexplorer inditasa utan kerdest kapunk, hogy a
letoltott file-t akarjuk-e futatni, akkor ne tegyuk, hanem inkabb nezzunk
korbe, hol maradt meg egy peldany a virusbol. A registry-ben tortent
valtoztatasokat a regedit programmal lehet helyreallitani, aki meg nem
csinalt ilyet, inkabb kerjen meg valaki hozzaertot a dolgok helyrehozasara!

Miutan elvegeztuk a fentebbi modositasokat, a gepet inditsuk ujra. Ha meg
nem toroltuk volna a virust tartalmazo levelet, tegyuk meg (vigyazzunk,
ne kattintsunk a kelletenel tobbet, ne nyissuk meg ujra).


Imre

More information about the Elektro mailing list