HardRemy
Gebruiker
- Lid geworden
- 25 apr 2008
- Berichten
- 167
Hier zie je wat de werking is van het virus, en hoe je het kan verwijderen
*De werking van het virus
1. Het virus komt als een mailtje binnen, met als subject "ILOVEYOU", body "kindly check the attached LOVELETTER coming from me." en een attachment "LOVE-LETTER-FOR-YOU.TXT.vbs".
2. Start je het attachment, dan ben je besmet.
3. Het virus kopieert zichzelf drie keer. Eén keer als MSKernel32.vbs in de Windows-folder, één keer als Win32DLL.vbs in de WindowsSystem-folder en één keer als LOVE-LETTER-FOR-YOU.TXT.vbs in de TEMP-folder.
4. Het register wordt aangepast, zodat elke keer bij het opstarten MSKernel32.vbs en Win32DLL.vbs gestart worden (het virus zelf dus).
5. Er wordt gekeken of het bestand WinFAT32.exe in de SYSTEM-folder staat. Is dit niet het geval, dan wordt de startpagina van Internet Explorer ingesteld op het bestand WIN-BUGSFIX.exe op één van de vier adressen op een www.skyinet.net server. Als Netscape gebruikt wordt zal het bestand dus niet gedownload worden.
6. Er wordt gekeken of het bestand WIN-BUGSFIX.exe is gedownload, door te kijken of het in de downloaddirectory staat. Is deze niet aangegeven, dan wordt er op C:\ gekeken.
7. Als het bestand gevonden is, wordt er als startpagina weer een lege pagina gekozen en wordt het register verandert zodat WIN-BUGSFIX.exe steeds gestart wordt bij het starten van Windows. Dit bestand leest alle wachtwoorden in die op je PC staan en mailt deze naar mailme@super.net.ph. Verder maakt het een kopie van zichzelf als WinFAT32.exe in de systemdirectory en wordt het register veranderd zodat ook WinFAT32.exe steeds bij het opstarten geladen worden.
8. Het bestand LOVE-LETTER-FOR-YOU.HTM wordt in de system-folder gezet. Hierin komt een ActiveX-script te staan, die het virus kopieert naar de system-folder als MSKernel32.vbs. Ook verandert dit script het register, zodat het virus steeds bij het opstarten geladen wordt.
9. Er wordt in het register gekeken welke E-Mailadressen allemaal in het Microsoft Outlook adressenboek staan. Naar al deze E-Mailadressen wordt een mailtje gestuurd, met als subject "ILOVEYOU", als body "kindly check the attached LOVELETTER coming from me.". Als attachment wordt de kopie van het virus gebruikt die in de TEMP-folder staat. Dit werkt dus alleen als Microsoft Outlook is geïnstalleerd.
10. De harde schijf wordt doorzocht naar een aantal bestandenstypen.
11. Wordt er bestand met de extentie vbs of vbe gevonden (visual basic bestand), dan zal het virus zich in het bestand, achter de bestaande code zetten. Hierdoor lijkt het bestand nog te werken.
12. Bestanden met de extentie js, jse, css, wsh, sct, jpg, jpeg en hta worden eerst overschreven (zodat ze niet meer terug te krijgen zijn), daarna verwijderd. Dan maakt het virus maakt een kopie van zichzelf met dezelfde bestandsnaam als het net verwijderde bestand, alleen dan met de extentie vbs.
13. Bestanden met de extentie MP2 of MP3 blijven bewaard, maar er wordt wel een kopie van het virus gemaakt met dezelfde naam als het muziekbestand en de extentie vbs. De oorspronkelijke bestanden zullen het hidden attribuut krijgen zodat ze voor de gebruikers met minder PC-kennis verdwenen lijken.
14. Er wordt gekeken of Mirc geinstalleerd is. Is dit het geval, dan wordt ervoor gezorgd dat het net gemaakte HTM-bestand naar iedereen in een channel wordt gestuurd, als je die joint.
*Het verwijderen van het virus
Om het virus te voorkomen kan je het beste natuurlijk het bestand niet openen, maar Windows Scripting Host uitzetten kan ook. Kies Add/Remove Software in het controlpanel, dan windows setup tab, accessories en verwijder daar Windows Scripting Host.
Om het virus weer weg te krijgen lijkt het mij het handigste om eerst de volgende drie registrykeys te verwijderen:
*HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\MSKernel32
*HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\Win32DLL
*HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\WIN-BUGSFIX
Zet daarna de startpagina van internet explorer weer normaal. Verwijder dan voor de zekerheid alle vbs en vbe bestanden die aangemaakt zijn sinds je het virus hebt (weet je dat niet zeker: verwijder liever te veel dan te weinig) en verwijder WIN-BUGSFIX.exe die in je downloaddirectory of op C:\ staat. Als laatste moet je Mirc verwijderen en weer opnieuw installeren als je dat hebt.
Heb je dat allemaal gedaan, dan lijkt het me ook nog wel zo sociaal om even alle kennissen die via E-Mail het virus eventueel van jou hebben gekregen op de hoogte te stellen
*Varianten
1. Bijlage: LOVE-LETTER-FOR-YOU.TXT.vbs
Onderwerp: ILOVEYOU
Bericht: kindly check the attached LOVELETTER coming from me.
2. Bijlage: Very Funny.vbs
Onderwerp: fwd: Joke
Bericht: empty
3. Bijlage: mothersday.vbs
Onderwerp: Mothers Day Order Confirmation
Bericht: We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the Bijlage and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com
4. Bijlage: virus_warning.jpg.vbs
Onderwerp: Dangerous Virus Warning
Bericht: There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it.
5. Bijlage: protect.vbs
Onderwerp: Virus ALERT!!!
Bericht: a long message regarding VBS.LoveLetter.A
6. Bijlage: Important.TXT.vbs
Onderwerp: Important! Read carefully!!
Bericht: Check the attached IMPORTANT coming from me!
7. Bijlage: Virus-Protection-Instructions.vbs
Onderwerp: How to protect yourself from the IL0VEYOU bug!
Bericht: Here's the easy way to fix the love virus.
8. Bijlage: KillEmAll.TXT.VBS
Onderwerp: I Cant Believe This!!!
Bericht: I Cant Believe I have Just received This Hate Email .. Take A Look!
9. Bijlage: ArabAir.TXT.vbs
Onderwerp: Thank You For Flying With Arab Airlines
Bericht: Please check if the bill is correct, by opening the attached file
10. Bijlage: IMPORTANT.TXT.vbs
Onderwerp: Variant Test
Bericht: This is a variant to the vbs virus.
11. Bijlage: Vir-Killer.vbs
Onderwerp: Yeah, Yeah another time to DEATH...
Bericht: This is the Killer for VBS.LOVE-LETTER.WORM.
12. Bijlage: LOOK.vbs
Onderwerp: LOOK!
Bericht: hehe...check this out.
13. Bijlage: BEWERBUNG.TXT.vbs
Onderwerp: Bewerbung Kreolina
Bericht: Sehr geehrte Damen und Herren!
14.
Onderwerp: Is this you in this picture?
Bericht: Is this you in this picture?
Ik hoop dat ik je geholpen heb
Groetjes, Remy
*De werking van het virus
1. Het virus komt als een mailtje binnen, met als subject "ILOVEYOU", body "kindly check the attached LOVELETTER coming from me." en een attachment "LOVE-LETTER-FOR-YOU.TXT.vbs".
2. Start je het attachment, dan ben je besmet.
3. Het virus kopieert zichzelf drie keer. Eén keer als MSKernel32.vbs in de Windows-folder, één keer als Win32DLL.vbs in de WindowsSystem-folder en één keer als LOVE-LETTER-FOR-YOU.TXT.vbs in de TEMP-folder.
4. Het register wordt aangepast, zodat elke keer bij het opstarten MSKernel32.vbs en Win32DLL.vbs gestart worden (het virus zelf dus).
5. Er wordt gekeken of het bestand WinFAT32.exe in de SYSTEM-folder staat. Is dit niet het geval, dan wordt de startpagina van Internet Explorer ingesteld op het bestand WIN-BUGSFIX.exe op één van de vier adressen op een www.skyinet.net server. Als Netscape gebruikt wordt zal het bestand dus niet gedownload worden.
6. Er wordt gekeken of het bestand WIN-BUGSFIX.exe is gedownload, door te kijken of het in de downloaddirectory staat. Is deze niet aangegeven, dan wordt er op C:\ gekeken.
7. Als het bestand gevonden is, wordt er als startpagina weer een lege pagina gekozen en wordt het register verandert zodat WIN-BUGSFIX.exe steeds gestart wordt bij het starten van Windows. Dit bestand leest alle wachtwoorden in die op je PC staan en mailt deze naar mailme@super.net.ph. Verder maakt het een kopie van zichzelf als WinFAT32.exe in de systemdirectory en wordt het register veranderd zodat ook WinFAT32.exe steeds bij het opstarten geladen worden.
8. Het bestand LOVE-LETTER-FOR-YOU.HTM wordt in de system-folder gezet. Hierin komt een ActiveX-script te staan, die het virus kopieert naar de system-folder als MSKernel32.vbs. Ook verandert dit script het register, zodat het virus steeds bij het opstarten geladen wordt.
9. Er wordt in het register gekeken welke E-Mailadressen allemaal in het Microsoft Outlook adressenboek staan. Naar al deze E-Mailadressen wordt een mailtje gestuurd, met als subject "ILOVEYOU", als body "kindly check the attached LOVELETTER coming from me.". Als attachment wordt de kopie van het virus gebruikt die in de TEMP-folder staat. Dit werkt dus alleen als Microsoft Outlook is geïnstalleerd.
10. De harde schijf wordt doorzocht naar een aantal bestandenstypen.
11. Wordt er bestand met de extentie vbs of vbe gevonden (visual basic bestand), dan zal het virus zich in het bestand, achter de bestaande code zetten. Hierdoor lijkt het bestand nog te werken.
12. Bestanden met de extentie js, jse, css, wsh, sct, jpg, jpeg en hta worden eerst overschreven (zodat ze niet meer terug te krijgen zijn), daarna verwijderd. Dan maakt het virus maakt een kopie van zichzelf met dezelfde bestandsnaam als het net verwijderde bestand, alleen dan met de extentie vbs.
13. Bestanden met de extentie MP2 of MP3 blijven bewaard, maar er wordt wel een kopie van het virus gemaakt met dezelfde naam als het muziekbestand en de extentie vbs. De oorspronkelijke bestanden zullen het hidden attribuut krijgen zodat ze voor de gebruikers met minder PC-kennis verdwenen lijken.
14. Er wordt gekeken of Mirc geinstalleerd is. Is dit het geval, dan wordt ervoor gezorgd dat het net gemaakte HTM-bestand naar iedereen in een channel wordt gestuurd, als je die joint.
*Het verwijderen van het virus
Om het virus te voorkomen kan je het beste natuurlijk het bestand niet openen, maar Windows Scripting Host uitzetten kan ook. Kies Add/Remove Software in het controlpanel, dan windows setup tab, accessories en verwijder daar Windows Scripting Host.
Om het virus weer weg te krijgen lijkt het mij het handigste om eerst de volgende drie registrykeys te verwijderen:
*HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\MSKernel32
*HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\Win32DLL
*HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\WIN-BUGSFIX
Zet daarna de startpagina van internet explorer weer normaal. Verwijder dan voor de zekerheid alle vbs en vbe bestanden die aangemaakt zijn sinds je het virus hebt (weet je dat niet zeker: verwijder liever te veel dan te weinig) en verwijder WIN-BUGSFIX.exe die in je downloaddirectory of op C:\ staat. Als laatste moet je Mirc verwijderen en weer opnieuw installeren als je dat hebt.
Heb je dat allemaal gedaan, dan lijkt het me ook nog wel zo sociaal om even alle kennissen die via E-Mail het virus eventueel van jou hebben gekregen op de hoogte te stellen
*Varianten
1. Bijlage: LOVE-LETTER-FOR-YOU.TXT.vbs
Onderwerp: ILOVEYOU
Bericht: kindly check the attached LOVELETTER coming from me.
2. Bijlage: Very Funny.vbs
Onderwerp: fwd: Joke
Bericht: empty
3. Bijlage: mothersday.vbs
Onderwerp: Mothers Day Order Confirmation
Bericht: We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the Bijlage and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com
4. Bijlage: virus_warning.jpg.vbs
Onderwerp: Dangerous Virus Warning
Bericht: There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it.
5. Bijlage: protect.vbs
Onderwerp: Virus ALERT!!!
Bericht: a long message regarding VBS.LoveLetter.A
6. Bijlage: Important.TXT.vbs
Onderwerp: Important! Read carefully!!
Bericht: Check the attached IMPORTANT coming from me!
7. Bijlage: Virus-Protection-Instructions.vbs
Onderwerp: How to protect yourself from the IL0VEYOU bug!
Bericht: Here's the easy way to fix the love virus.
8. Bijlage: KillEmAll.TXT.VBS
Onderwerp: I Cant Believe This!!!
Bericht: I Cant Believe I have Just received This Hate Email .. Take A Look!
9. Bijlage: ArabAir.TXT.vbs
Onderwerp: Thank You For Flying With Arab Airlines
Bericht: Please check if the bill is correct, by opening the attached file
10. Bijlage: IMPORTANT.TXT.vbs
Onderwerp: Variant Test
Bericht: This is a variant to the vbs virus.
11. Bijlage: Vir-Killer.vbs
Onderwerp: Yeah, Yeah another time to DEATH...
Bericht: This is the Killer for VBS.LOVE-LETTER.WORM.
12. Bijlage: LOOK.vbs
Onderwerp: LOOK!
Bericht: hehe...check this out.
13. Bijlage: BEWERBUNG.TXT.vbs
Onderwerp: Bewerbung Kreolina
Bericht: Sehr geehrte Damen und Herren!
14.
Onderwerp: Is this you in this picture?
Bericht: Is this you in this picture?
Ik hoop dat ik je geholpen heb
Groetjes, Remy
Laatst bewerkt:
