Il Virus "I love you"

Breve descrizione di cosa sia e cosa faccia il Virus più chiacchierato del momento.

Come agisce il Virus "I Love You"
Le stime parlano di 45 milioni di computer infettati, ma e' proprio necessario un antivirus o basta stare attenti?

Per chi fosse interessato a sapere come effettivamente funziona il noto virus ILOVEYOU, pubblichiamo qui di seguito una email scritta da Claudio Marinangeli, Assistant to the Director for the Information Technology, St. John's University - Rome Campus, gentilmente concessaci dallo stesso, che ringraziamo per la disponibilità. A seguito dell'email, che pubblichiamo fedelmente, è riportata una traduzione eseguita dalla redazione di MorganaWeb per coloro, tra di voi, che non hanno eccessiva familiarità con la lingua inglese

From: Claudio Marinangeli

To: SJU ML Students ALL!!
Sent: Thursday, May 04, 2000 2:44 PM
Subject: VIRUS WARNING - PLEASE READ THIS EMAIL IMMEDIATELY

Dear Rome Students,

The "Love Letter" computer virus is currently spreading all over the world via email. We received it attached to an email and were able to detect it before it could damage anybody. This email is to inform you about how not to be infected by the virus, therefore please read carefully what follows.
"Love Letter" virus is sent as an email attachment. If you receive an email from anybody, EVEN A PERSON YOU KNOW, which contains an attachment named "LOVE-LETTER-FOR-YOU.txt.vbs", just DELETE THAT EMAIL immediately. DO NOT open the attachment to see what it is about, since it would activate the virus.
The email message has ILOVEYOU as a subject and "kindly check the attached LOVELETTER coming from me" text in the message body.
This is all you need to know to protect yourself from the virus. If you are interested in slightly more technical details, please read what follows.

"Love Letter" is essentially a VisualBasic Script. When you double click on the LOVE-LETTER-FOR-YOU.txt.vbs file, you are actually executing the VB Script. By going through the script I found out what the script does to your PC. The script instruscts the computer to

1) put these files in the System Directories: MSKernel32.vbs, Win32DLL.vbs, LOVE-LETTER-FOR-YOU.TXT.vbs. These files are identical, except for their name, of course. They are copied in the system directories so that they can be executed when the computer is rebooted.

2) create some entries in the windows registry so that the files mentioned above are actually executed when the computer reboots.

3) Modify the default homepage of your web browser (Netscape or MS Explorer) so that it points to a specific webpage on the internet. This is an essential part in the virus script. In fact, when you start your "infected" web browser, you would download from the internet a file named "WIN-BUGSFIX.EXE", and save it on your hard disk. This file presumably contains the actual viral code. So far, I don't know what are the effects of such code since we were fortunately able to stop the VB Script from downloading WIN-BUGSFIX.EXE from the Internet.

4) Create few entries in the windows registry that would actually lounch the WIN-BUGSFIX.EXE file when the machine is booted, causing - I assume - any sort of damage to your files/computer.

5) Copy the Viral Visual Basic Script INTO any other good Visual Basic Script in your hard drive (which is of course extremely dangerous for VisualBasic programmers). Namely, the affected files would be all .JS, .JSE, .CSS, .WSH, .SCT, .HTA. Programmers among you may very well recognise these file extensions.

6) Search for all the .JPG and .MP3 files on your hard disk and create a copy of the Viral VB Script named after each of them. For example, if you have a file in your had disk named SONG.MP3, the Viral VB Script would create a file named SONG.MP3.VBS , containing the viral vb script rather than the song. If you, by mistake, double click on the .VBS file rather than the .MP3 one, you would start the virus.

7) Create a MIRC script.ini file that is sent to people you have IRC chat sessions with. This is done only if MIRC is installed in your computer.

8) Send an email to EVERYBODY in your windows addressbook without you being aware of it. Your friends would receive an email form YOU containig the text above mentioned and the viral VB script attached, exactly as the email you received.

That's all. Feel free to email me for any further question.

Claudio Marinangeli,
Assistant to the Director
Information Technology
St. John's University
Rome Campus

From: Claudio Marinangeli

To: SJU ML Students ALL!!
Sent: Thursday, May 04, 2000 2:44 PM
Subject: VIRUS WARNING - PLEASE READ THIS EMAIL IMMEDIATELY

Cari Studenti del Campus di Roma,

Il virus del computer "Love Letter" sta attualmente spargendosi dappertutto via email. Lo abbiamo ricevuto in allegato ad un email e siamo stati in grado di rilevarlo prima che potesse danneggiare qualcuno. Questo messaggio è stato scritto per informarvi su come non farvi infettare dal virus, quindi leggetelo con attenzione.
Il virus "Love Letter" viene mandato come email attachment. Se ricevete un email da chiunque, ANCHE DA UNA PERSONA CONOSCIUTA, che contiene un attachment chiamato "LOVE-LETTER-FOR-YOU.txt.vbs", dovete CANCELLARE QUESTA EMAIL immediatamente. NON aprite il file in allegato per guardarlo, altrimenti attiverete il virus.
Il messaggio ha come subject ILOVEYOU e nel testo c'è scritto "kindly check the attached LOVELETTER coming from me".
Questo è tutto ciò che dovete sapere per proteggervi dal virus. Se siete interessati ad altri dettagli tecnici leggete quanto segue.

"Love Letter" è essenzialmente uno Script in VisualBasic. Quando clickate sul file LOVE-LETTER-FOR-YOU.txt.vbs eseguite lo Script in VB. Scorrendo lo script rigo per rigo, ho individuato quali sono le operazioni che il virus fa eseguire al vostro PC

1) Inserisce i seguenti file nelle directory di sistema: MSKernel32.vbs, Win32DLL.vbs, LOVE-LETTER-FOR-YOU.TXT.vbs. Tranne che nel nome questi file sono identici. Vengono copiati nelle directory di sistema così possono essere eseguiti al reboot del computer.

2) Crea alcune chiavi nel registro di Windows in modo che i files sopracitati siano eseguiti ai reboot.

3) Modifica la homepage di default del vostro web browser (Netscape o MS Explorer) in modo da farlo puntare ad una specifica pagina web su internet. Questa è una parte essenziale nello script del virus. Infatti, facendo partire il vostro web browser "infetto", scaricherete da internet un file chiamato "WIN-BUGSFIX.EXE", e lo salverete nel vostro hard disk. Questo file presumibilmente contiene altro codice virale. Effettivamente non conosco gli effetti di questo programma perchè fortunatamente abbiamo impedito allo Script VB di scaricare WIN-BUGSFIX.EXE da Internet.

4) Crea alcune chiavi nel registro di windows che faranno eseguire il file WIN-BUGSFIX.EXE al reboot della macchina causando - presumo - qualche altro genere di danni al vostro sistema.

5) Copia il Visual Basic Script infetto DENTRO ogni altro Visual Basic Script nel vostro hard disk (azione estremamente dannosa per i programmatori in VisualBasic). Per la precisione i files infetti possono essere tutti i .JS, .JSE, .CSS, .WSH, .SCT, .HTA.

6) Cerca tutti i file .JPG e .MP3 sul vostro hard disk e crea una copia del VB Script infetto col nome di ognuno di essi. Per esempio, se avete un file chiamato SONG.MP3, il VB Script infetto crea un file chiamato SONG.MP3.VBS, contenente il VB script infetto. Se per errore, clickate sul file SONG.MP3.VBS piuttosto che sul file SONG.MP3, farete partire il virus.

7) Crea un file script.ini di MIRC che viene mandato alle persone con le quali avete una sessione di chat IRC. Questo avviene solo se avete installato MIRC sul vostro computer.

8) Manda un email a TUTTI coloro che avete nell'"Address book" di Windows senza che voi ve ne accorgiate. I vosti amici riceveranno una VOSTRA email contenente il testo sopramenzionato e in allegato il VB script, quindi spargerete il Virus con un email uguale a quella ricevuta.

Questo è tutto. Per ogni altra informazione contattatemi.

Copyright 2000 Claudio Marinangeli,
Assistant to the Director
Information Technology
St. John's University, Rome Campus
Tutti i diritti riservati, vietata la riproduzione (anche parziale) senza autorizzazione dell'interessato.
Tutte le eventuali inesattezze riscontrabili nella traduzione dall'Inglese sono imputabili esclusivamente alla redazione di MorganaWeb.

L'email era indirizzata agli studenti e allo staff dell'università il giorno stesso in cui il virus si è diffuso, causando ingentissimi danni in molte aziende sparse sul tutto il pianeta, e guadagnandosi l'indomani i titoli dei notiziari e le prime pagine dei giornali di tutto il mondo
Speriamo che quanto sopra riportato possa essere di aiuto alle vittime del virus ILOVEYOU e per prevenire l'infezione da nuove mutazioni del virus che hanno già fatto la loro comparsa.

Riportiamo anche alcuni siti dai quali scaricare gli antivirus che rilevano ed eliminano "ILOVEYOU"
  Dalla Symantec (distributrice del Norton Antivirus) FIXLOVE che controlla l'hard disk e rimuove tutti i files infetti.
  Dalla Trend Micro (PC-cillin) l'utility kill_ILOVEU.exe che ripristina la configurazione di Windows prima del virus, eliminando le tracce che VBS_LOVELETTER ha lasciato.
  Dalla myCIO.com (VirusScan ASaP) LoveScan On-line un programma che dal server della myCIO esamina il vostro Exchange e-mail servers controllando se sia infetto dal virus "I Love You".
Se invece volete riderci su...

Per informazioni redazione@morganaweb.com