Russian Viral Review #2 : description of known versions I-Worm.LoveLetter

Описание вируса VBS.LoveLetter

Интернет/IRC/файловый вирус-червь, представляющий собой VBS-скрипт. Известно несколько модификаций вируса, которые обладают общими функциональными свойствами. Вирус распространяется по IRC-каналам и по e-mail используя адресную книгу программы Outlook. Subject и тело письма у отсылаемых писем статичны у каждой из модификаций. Содержит в заголовке закомментированный текст.

Базовая (английская) версия (variant A [1,2]):
Закомментированный текст в заголовке:

barok -loveletter(vbe) < hate go to school> 
	by: spyder  /  [email protected]  /  @GRAMMERSoft Group  /  Manila,Philippines

Длина вируса в чистом виде: 10307/10309 и 10583. Вирусы различаются по длине из-за различия в способе задания перевода строки (ODh OAh и 0Dh 0Dh 0Ah соответственно); различия эти возникли естественным путем из-за попадания вируса на компьютеры с различными OS.
Имя файла: LOVE-LETTER-FOR-YOU.TXT.vbs
Subject: "ILOVEYOU"
Тело письма: "kindly check the attached LOVELETTER coming from me."
Описание работы: После запуска вирус копируется в папки Windows под именами:
%windir%\system\MSKernel32.vbs
%windir%\Win32DLL.vbs
%windir%\LOVE-LETTER-FOR-YOU.TXT.vbs
Так же создает файл с именем LOVE-LETTER-FOR-YOU.HTM, который рассылает по IRC (для этого создается файл script.ini в директории mIRC). Из интернета с одного из 4 сайтов выкачивается файл WIN-BUGSFIX.exe, содержащий программу-backdoor, который впоследствии инсталлируется на пораженном компьютере.
Создает в реестре ключи
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32",dirsystem&"\MSKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL",dirwin&"\Win32DLL.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX",downread&"\WIN-BUGSFIX.exe
которые отвечают за запуск вируса и троянского дополнения при включении компьютера.
Вирус копирует себя в *.VBS, *.VBE, *.js, *.jse, *.css, *.wsh, *.sct, *.hta, *.jpg, *.jpeg файлы, для *.mp3, *.mp2 создает одноименные VBS-файлы.
Реакция антивирусов: c 05-May-2000 детектируется AVP под именем I-Worm.LoveLetter

Модифицированная (литовская) версия (variant B [3]):
Закомментированный текст в заголовке:

barok -loveletter(vbe) < hate go to school> 
	by: spyder  /  [email protected]  /  @GRAMMERSoft Group  /  Manila,Philippines
 Modified Lameris Tamoshius / Lithuania (Tovi systems)

Длина вируса в чистом виде: 10399
Имя файла: LOVE-LETTER-FOR-YOU_TXT.vbs
Subject: "Susitikim shi vakara kavos puodukui..."
Тело письма: "kindly check the attached LOVELETTER coming from me." (не изменено)
Реакция антивирусов: c 12-May-2000 детектируется AVP под именем I-Worm.LoveLetter

Модифицированная (литовская) версия (variant B2 [4,5]):
Закомментированный текст в заголовке:

barok -loveletter(vbe) < hate go to school> 
	by: spyder  /  [email protected]  /  @GRAMMERSoft Group  /  Manila,Philippines
Modified Lameris Tamoshius / Lithuania (Tovi systems)

Длина вируса в чистом виде: 7983/10365 (в конце вируса содержится массив пробелов, и у некоторых экземпляров вируса он "откушен").
Имя файла: LOVE-LETTER-FOR-YOU_TXT.vbs
Subject: "Susitikim shi vakara kavos puodukui..."
Тело письма: "kindly check the attached LOVELETTER coming from me." (не изменено)
Комментарии: Является переделанным "variant B [3]". Файл LOVE-LETTER-FOR-YOU.HTM не создается (на этом месте в вирусе находится массив пробелов).
Реакция антивирусов: c 12-May-2000 детектируется AVP под именем I-Worm.LoveLetter

Модифицированная версия (variant C [6]):
Закомментированный текст в заголовке:

 barok -loveletter(vbe) < hate go to school>
      by: spyder  /  [email protected]  /  @GRAMMERSoft Group  /  Manila,Philippines

Длина вируса в чистом виде: 10194
Имя файла: LOVE-LETTER-FOR-YOU.TXT.vbs (на диске) & Very Funny.vbs (в аттаче)
Subject: "fwd: Joke"
Тело письма: отсутствует
Комментарии: Является переделанным "variant A [1]". Рассылает по IRC файл с именем Very Funny.HTM
Реакция антивирусов: c 06-May-2000 детектируется AVP под именем I-Worm.LoveLetter

Модифицированная версия (variant D [7]):
Закомментированный текст в заголовке: отсутствует
Длина вируса в чистом виде: 10170/10172
Имя файла: LOVE-LETTER-FOR-YOU.TXT.vbs
Subject: "ILOVEYOU"
Тело письма: "kindly check the attached LOVELETTER coming from me."
Комментарии: из вируса только удален комментарий, все остальное - без изменений.
Реакция антивирусов: c 05-May-2000 детектируется AVP под именем I-Worm.LoveLetter

Модифицированная версия (variant E [8]):
Закомментированный текст в заголовке:

hackers.com
by: hackers.com

Длина вируса в чистом виде: 10004/10007
Имя файла: mothersday.vbs
Subject: "Mothers Day Order Confirmation"
Тело письма: " We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! [email protected] "
Комментарии: ссылки переделаны на сайты http://www.hackers.com, http://www.l0pht.com, http://www.2600.com, http://www.hackers.com . Расылает по IRC файл mothersday.HTM
Реакция антивирусов: c 06-May-2000 детектируется AVP под именем I-Worm.LoveLetter

Модифицированная версия (variant F [9]):
Закомментированный текст в заголовке:

 barok -loveletter(vbe) < hate go to school>
			by: spyder  /  [email protected]  /  @GRAMMERSoft Group  /  Manila,Philippines

Длина вируса в чистом виде: 10358
Имя файла: virus_warning.jpg.vbs
Subject: "Dangerous Virus Warning"
Тело письма: "There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it."
Комментарии: модификация вируса "variant A [1]" . Рассылает по IRC файл virus_warning.jpg.HTM
Реакция антивирусов: c 06-May-2000 детектируется AVP под именем I-Worm.LoveLetter

Модифицированная (немецкая) версия (variant [10]):
Закомментированный текст в заголовке :

Und noch so ein hдЯliches Ding
Construction with The Orginal Letter.A Vir
by Lucky2000

Hello all,,,Yes our PC are Infected...

Длина вируса в чистом виде: 8814
Имя файла: Vir-Killer.vbs (Vir-Killer.TXT.vbs)
Subject: "Yeah, Yeah another time to DEATH..."
Тело письма: "This is the Killer for VBS.LOVE-LETTER.WORM."
Комментарии: Вирус создан путем модификации литовской версии вируса длины 10365 "variant B2 [4]" (все строки "WIN-BUGSFIX" заменены на "Vir-Killer" и добавлена куча ошибок). Модификацию делал идиот, который в вирусах ничерта не соображает :

вирус пытается скачать файлы http://www.yahoo.com/Vir-Killer.exe, http://www.msn.com/Vir-Killer.exe, http://www.Hotmail.com/Vir-Killer.exe, http://www.Aol.com/Vir-Killer.exe, которых там нет и небыло, вместо того чтобы выкачивать бакдор

вирус регистрирует в реестре вызов файлов MSKernel32.vbs и Win32DLL.vbs, забыв предварительно создать их (см. базовую версию)

файл VIR-KILLER.HTM не создается по причине уничтоженного кода (см. модифицированную литовскую версию)
В отличие от базовой версии "variant A [1]" :

портит файлы *.vbs, *.vbe, *.zip, *.rar, *.asm, *.pas

не рассылает файлы по IRC
Реакция антивирусов: с 10-May-2000 детектируется AVP под именем I-Worm.LoveLetter.q