Home page



Trojan worms worms

trojan trojan


I LOVE YOU


L'ultimo virus che si sta diffondendo a macchia d'olio ha un nome abbastanza comune: ILoveYou ed e' scritto in VBScript, capace di auto-replicarsi attraverso il semplice invio di messaggi a tutti i nominativi della rubrica di Outlook e di mIRC. Il virus si e' diffuso attraverso l'uso della posta elettronica ed a tutti coloro che arrivava la mail con l'oggetto citato, all'interno trovavano il messaggio "kindly check the attached LOVELETTER coming from me" con allegato il file "LOVE-LETTER-FOR-YOU.TXT.vbs" che, se aperto, infettava subito il sistema.

Dopo essere stato eseguito, il worm comincia una ricerca su tutti i drive locali e di rete, effettuando diverse operazioni sui file che hanno le seguenti estensioni:

VBE, VBS:
 questi file vengono sovrascritti con il codice del worm

JS, JSE, CSS, WSH, SCT, HTA:
 il worm crea un nuovo file avente lo stesso nome del file originale ma con estensione .VBS. Il file originale è cancellato.

JPG, JPEG:
 il worm crea un nuovo file con estensione .VBS, aggiunta al nome e all'estensione del file originale (ad esempio un ipotetico file pippo.JPG diventa pippo.JPG.VBS). Nel nuovo file viene scritto il codice del worm. Il file originale è cancellato.

MP2, MP3:
viene creato un nuovo file nella modalità descritta per i file JPG e JPEG. Il file originale viene mantenuto, ma con l'attributo "nascosto" impostato.

MIRC32.EXE, MLINK32.EXE, SCRIPT.INI, MIRC.HLP, MIRC.INI:
se uno di questi file viene trovato, il worm crea il file SCRIPT.INI nella cartella dove risiedono tali file. Il worm inoltre crea anche alcune copie di se stesso nella cartella di sistema, usando i seguenti nomi di file: MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS.

I-Worm.LoveLetter imposta alcune chiavi nel Registro allo scopo di eseguire automaticamente i file VBS creati:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL


Vediamo ora come impostare Outlook Express 5 ed evitare l'arrivo di e-mail sospette. Una volta avviato Outlook andare su Strumenti-Regole Messaggi-Posta Elettronica. Vi apparirà questo menù:





Settare la casellina "In cui la casella Oggetto contiene parole specifiche" (1). Cliccare poi nella finestra successiva, dove e' scritto "Contiene parole specifiche" (2)





Su "Immettere una frase o una parola specifica..." scrivere I love you e cliccare su 'Aggiungi' e poi su 'OK'.





Una volta tornati nella finestra principale, andate nella casella "Selezionare le azioni da effettuare" e settate l'opzione "Elimina il messaggio dal server" e poi su 'OK'.





Ora in questo modo qualsiasi messaggio che arriverà come oggetto I love you, sara' direttamente eliminato.

(C) 2000 for spaRtan