ILOVEYOU

hat schon jemand das script analysiert ? ist der mailversand und die änderung der default-website das einzige, was ausgelöst wird ???

weiß jemand mehr ?

ciao,
lex

Um was gehtz denn hier? Was für ein Script?

------------------
(¯`'·.¸(¯`'·.¸ * |InSpEcTaH's HoMePaGe| *¸.·'´¯)¸.·'´¯)

I've never thought that there'll be somebody like me on this planet! (Copyright by Da Inspectah $)

Es geht um das hier:

http://www.heise.de/newsticker/data/nl-04.05.00-000/
http://www.heise.de/newsticker/data/nl-04.05.00-001/

Da ich aber nicht mit VB rumtue, kann ich auf die ursprünglichen Fragen nicht antworten...

O Love

------------------
"I will not abide disobedience!"

Naja, das weiß ich jetzt auch!

Habs grad nicht gleich kapiert! *sorry*

C'Ya Da Inspectah $

------------------
(¯`'·.¸(¯`'·.¸ * |InSpEcTaH's HoMePaGe| *¸.·'´¯)¸.·'´¯)

I've never thought that there'll be somebody like me on this planet! (Copyright by Da Inspectah $)

Das "dolle" Windows Host Scripting und die "dolle" COM-Technolgie von M$ hat diesem mist Virus alle Türen und Tore geöffnet !

Echt alles "dolle" Features von M$ mit dem das ganze wieder möglich ist.
So scheint M$ wohl auch die Rechner auszuspionoieren ( Zugriff auf Registry)

...yks

Hi Leute!

Haben hier seit gestern mittag mit ILY ganz schön zu tun. Glücklicherweise waren wir ziemlich fix (es hat nur ca. 10 von 400 PCs getroffen). Nach einem Blick ins Script war die Sache relativ klar. Ich habe dann erstmal den Proxy gestoppt und den MTA angehalten. Die Liste der infizierten PCs habe ich durch einen Blick in mein Postfach rausgekriegt. Der Rest hat dann erstmal was mit Turnschuhen zutun - also:
1. Task "wscript" stoppen!
2. In der Registry die beiden vbs-Keys unter \Run und \RunServices löschen
3. den RegistryKey der Startseite des IE wieder gerade biegen
4. die drei vbs-Dateien löschen (MSKernel32.vbs, Win32DLL.vbs, LOVE-LETTER-FOR-YOU.vbs) - am besten nach allen vbs-Dateien suchen)
5. im SysDir nach der HTM-Variante suchen und löschen
6. nochmal zur Registry: wenn der IE durch das Ändern der Startseite schon die WIN-BUGSFIX.exe runtergeladen hat, ebenfalls unter \Run den Eintrag "WIN-BUGSFIX" löschen
7. Weiterhin konnte ich beobachten, dass teilweise Kopien des Love-Letters im %WINDIR%\Temp runtergefallen sind.

Wem irgendwelche jpgs, js, css, sct, hta, vbs, vbe gelöscht worden sind, hat Pech oder ein Band. Lediglich bei MP3 oder MP2: diese Dateien wurden nur versteckt (Hidden-Attribut) bzw. wenn sie vorher "hidden" waren sind sie jetzt "system".
Weiterhin legt ILY in der Registry eine Liste der "bedienten" Empfänger ab (HKCU\Software\Microsoft\WAB).

Habe mir gestern noch schnell eine kleine EXE geschrieben, die mir die Clients wieder geraderückt. Wer Interesse hat, dem schicke ich sie gerne zu. Hier der Quelltext:

unit scan_reg;

interface

uses
Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs,
StdCtrls, Registry, FileCtrl;

type
TForm1 = class(TForm)
Label1: TLabel;
FileListBox1: TFileListBox;
procedure Button1Click(Sender: TObject);
private
{ Private-Deklarationen}
public
{ Public-Deklarationen}
end;

var
Form1: TForm1;

implementation

{$R *.DFM}

procedure TForm1.Button1Click(Sender: TObject);
var Reg: TRegistry;
f: boolean;
dl: string;
fl: file;
wdir,sdir,fname: string;
i: integer;
begin
Reg := Tregistry.Create; { Registry-Keys geradebiegen }
with Reg do begin

RootKey := HKEY_LOCAL_MACHINE;

f := OpenKey( 'Software\Microsoft\Windows\CurrentVersion\Run\', true);
if f then begin
f := DeleteValue( 'MSKernel32' );
f := DeleteValue( 'WIN-BUGSFIX' );
end;
CloseKey;

f := OpenKey( 'Software\Microsoft\Windows\CurrentVersion\RunServices\', true);
if f then f := DeleteValue( 'Win32DLL' );
CloseKey;

f := OpenKey( 'Software\Microsoft\Windows\CurrentVersion\Setup\', true);
if f then begin
wdir := ReadString( 'WinDir' );
sdir := ReadString( 'SysDir' );
end;
CloseKey;

RootKey := HKEY_CURRENT_USER;

f := OpenKey( 'Software\Microsoft\Internet Explorer\Main\', true);
if f then f := DeleteValue( 'Start Page' );
CloseKey;

f := OpenKey( 'Software\Microsoft\Internet Explorer\Main\', true);
if f then WriteString( 'Start Page', 'http://smiweb' );
CloseKey;

f := OpenKey( 'Software\Microsoft\Internet Explorer\', true);
if f then dl := ReadString( 'Download Directory' );
CloseKey;

end;
Reg.Destroy;

{ vom Virus angelegte Dateien löschen }

if FileExists( dl + '\WIN-BUGSFIX.exe' ) then begin
AssignFile( fl, dl + '\WIN-BUGSFIX.exe' );
Erase( fl );
end;

if FileExists( sdir + '\MSKernel32.vbs' ) then begin
AssignFile( fl, sdir + '\MSKernel32.vbs' );
Erase( fl );
end;

if FileExists( sdir + '\LOVE-LETTER-FOR-YOU.TXT.vbs' ) then begin
AssignFile( fl, sdir + '\LOVE-LETTER-FOR-YOU.TXT.vbs' );
Erase( fl );
end;

if FileExists( sdir + '\LOVE-LETTER-FOR-YOU.HTM' ) then begin
AssignFile( fl, sdir + '\LOVE-LETTER-FOR-YOU.HTM' );
Erase( fl );
end;

if FileExists( wdir + '\Win32DLL.vbs' ) then begin
AssignFile( fl, wdir + '\Win32DLL.vbs' );
Erase( fl );
end;

FileListBox1.Drive := 'C';
FileListBox1.Directory := ExtractFileDir( wdir + '\System\' );
if FileListBox1.Items.Count > 0 then begin
for i:=1 to FileListBox1.Items.Count do begin
if (Pos( 'love', LowerCase(FileListBox1.Items[i-1])) > 0) and
(Pos( 'letter', LowerCase(FileListBox1.Items[i-1])) > 0) then begin
AssignFile( fl, wdir + '\System\' + FileListBox1.Items[i-1] );
Erase( fl );
end;
end;
end;

Close;
end;

end.

Stimmt es, das dieser Virus (von den anderen beiden Versionen mal abgesehen) von einem Schüler in Malaysia programmiert wurde, nur aus Langeweile?? Er war ja so schlau und hat ne REM - Zeile mit in den Code reingepackt...:
'by: spyder / [email protected] / @GRAMMERSoft Group / Manila,Philippines'
..und die Prozedur, die die JS und wasweißichnochalles - Dateien löscht bzw. verändert, hat auch den sinnigen Namen 'infectfiles'... vielleicht hätte er ja gleich eine MsgBox starten sollen: MsgBox "Achtung, ich will ihren Rechner plätten. Darf ich?", vbYesNo, "Ich bin ein Virus"

...es gibt echt intelligente Menschen... :supergrin:

daPhil

Autsch! Das tut doch schon weh! Ich frage, ob er aus Malaysia kommt, und in der Code - Zeile steht Manila... sorry, aber ich bin heute leicht durch den Wind... und ich denke auch mal über ne Brille nach...

der nicht so ganz voll da seiende daPhil

Hi daPhil!

Ich glaube, bei solch einem Code stellt sich nicht mehr die Frage, ob es ein Schüler war, ob er aus Manila kommt, ob dort MsgBoxes mit der Aufschrift "VIRUS - gefährlich!!!" hochklappen. Letztendlich stellt sich die Frage, welche Mechanismen MS dem Nutzer endlich in die Hände gibt, um zu verhindern, das aktiver Code ungewollt ausgeführt wird. In letzter Zeit hat MS nur auf das Ziel hingearbeitet - egal um welches Dateiformat es sich handelt -, aktiven Code in die Dokumente unterzubringen.
Ich kenne noch die Diskussionen über die theoretische Möglichkeit, Viren auf Basis von Applikations-Makros zu konstruieren - und siehe da: WMCap und so kam hoch. Dann gab es endlich (!) eine Office-übergreifende Makrosprache, mit der man sich ganz toll der Funktionalität von Outlook bedienen konnte. Ich glaube, dass sich mehr Hacker mit dieser Möglichkeit beschäftigen als normale Nutzer.
Das ein Angriff auf Basis des WSH kommt, war nur eine Frage der Zeit. Mit der Möglichkeit, System-Objekte einzubinden, liegt mir doch das ganze Dateisystem und die Registry zu Füssen. Das die Attacke doch noch relativ glimpflich abgelaufen ist, spricht immer noch für gewisse Skrupel, die der Initiator gehabt hat. Man stelle sich nur vor, die Extensions ".doc", ".dot" oder gar ".exe" hätten den Weg ins Script gefunden. Nicht auszudenken!
Aber das ist wieder nur eine Frage der Zeit, bis genau dieser Virus in die Gegend geschickt wird.

Ein frustrierter MS-Abhängiger.

CU Rastelli