Hi Leute!
Haben hier seit gestern mittag mit ILY ganz schön zu tun. Glücklicherweise waren wir ziemlich fix (es hat nur ca. 10 von 400 PCs getroffen). Nach einem Blick ins Script war die Sache relativ klar. Ich habe dann erstmal den Proxy gestoppt und den MTA angehalten. Die Liste der infizierten PCs habe ich durch einen Blick in mein Postfach rausgekriegt. Der Rest hat dann erstmal was mit Turnschuhen zutun - also:
1. Task "wscript" stoppen!
2. In der Registry die beiden vbs-Keys unter \Run und \RunServices löschen
3. den RegistryKey der Startseite des IE wieder gerade biegen
4. die drei vbs-Dateien löschen (MSKernel32.vbs, Win32DLL.vbs, LOVE-LETTER-FOR-YOU.vbs) - am besten nach allen vbs-Dateien suchen)
5. im SysDir nach der HTM-Variante suchen und löschen
6. nochmal zur Registry: wenn der IE durch das Ändern der Startseite schon die WIN-BUGSFIX.exe runtergeladen hat, ebenfalls unter \Run den Eintrag "WIN-BUGSFIX" löschen
7. Weiterhin konnte ich beobachten, dass teilweise Kopien des Love-Letters im %WINDIR%\Temp runtergefallen sind.
Wem irgendwelche jpgs, js, css, sct, hta, vbs, vbe gelöscht worden sind, hat Pech oder ein Band. Lediglich bei MP3 oder MP2: diese Dateien wurden nur versteckt (Hidden-Attribut) bzw. wenn sie vorher "hidden" waren sind sie jetzt "system".
Weiterhin legt ILY in der Registry eine Liste der "bedienten" Empfänger ab (HKCU\Software\Microsoft\WAB).
Habe mir gestern noch schnell eine kleine EXE geschrieben, die mir die Clients wieder geraderückt. Wer Interesse hat, dem schicke ich sie gerne zu. Hier der Quelltext:
unit scan_reg;
interface
uses
Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs,
StdCtrls, Registry, FileCtrl;
type
TForm1 = class(TForm)
Label1: TLabel;
FileListBox1: TFileListBox;
procedure Button1Click(Sender: TObject);
private
{ Private-Deklarationen}
public
{ Public-Deklarationen}
end;
var
Form1: TForm1;
implementation
{$R *.DFM}
procedure TForm1.Button1Click(Sender: TObject);
var Reg: TRegistry;
f: boolean;
dl: string;
fl: file;
wdir,sdir,fname: string;
i: integer;
begin
Reg := Tregistry.Create; { Registry-Keys geradebiegen }
with Reg do begin
RootKey := HKEY_LOCAL_MACHINE;
f := OpenKey( 'Software\Microsoft\Windows\CurrentVersion\Run\', true);
if f then begin
f := DeleteValue( 'MSKernel32' );
f := DeleteValue( 'WIN-BUGSFIX' );
end;
CloseKey;
f := OpenKey( 'Software\Microsoft\Windows\CurrentVersion\RunServices\', true);
if f then f := DeleteValue( 'Win32DLL' );
CloseKey;
f := OpenKey( 'Software\Microsoft\Windows\CurrentVersion\Setup\', true);
if f then begin
wdir := ReadString( 'WinDir' );
sdir := ReadString( 'SysDir' );
end;
CloseKey;
RootKey := HKEY_CURRENT_USER;
f := OpenKey( 'Software\Microsoft\Internet Explorer\Main\', true);
if f then f := DeleteValue( 'Start Page' );
CloseKey;
f := OpenKey( 'Software\Microsoft\Internet Explorer\Main\', true);
if f then WriteString( 'Start Page', 'http://smiweb' );
CloseKey;
f := OpenKey( 'Software\Microsoft\Internet Explorer\', true);
if f then dl := ReadString( 'Download Directory' );
CloseKey;
end;
Reg.Destroy;
{ vom Virus angelegte Dateien löschen }
if FileExists( dl + '\WIN-BUGSFIX.exe' ) then begin
AssignFile( fl, dl + '\WIN-BUGSFIX.exe' );
Erase( fl );
end;
if FileExists( sdir + '\MSKernel32.vbs' ) then begin
AssignFile( fl, sdir + '\MSKernel32.vbs' );
Erase( fl );
end;
if FileExists( sdir + '\LOVE-LETTER-FOR-YOU.TXT.vbs' ) then begin
AssignFile( fl, sdir + '\LOVE-LETTER-FOR-YOU.TXT.vbs' );
Erase( fl );
end;
if FileExists( sdir + '\LOVE-LETTER-FOR-YOU.HTM' ) then begin
AssignFile( fl, sdir + '\LOVE-LETTER-FOR-YOU.HTM' );
Erase( fl );
end;
if FileExists( wdir + '\Win32DLL.vbs' ) then begin
AssignFile( fl, wdir + '\Win32DLL.vbs' );
Erase( fl );
end;
FileListBox1.Drive := 'C';
FileListBox1.Directory := ExtractFileDir( wdir + '\System\' );
if FileListBox1.Items.Count > 0 then begin
for i:=1 to FileListBox1.Items.Count do begin
if (Pos( 'love', LowerCase(FileListBox1.Items[i-1])) > 0) and
(Pos( 'letter', LowerCase(FileListBox1.Items[i-1])) > 0) then begin
AssignFile( fl, wdir + '\System\' + FileListBox1.Items[i-1] );
Erase( fl );
end;
end;
end;
Close;
end;
end.