Арестуваха заподозрян в създаването на вируса "ILOVEYOU"
Истинският виновник е сестрата на гаджето му, твърдят негови роднини
Сестрата на гаджето на Рамонес е завършила наскоро компютърно инженерство в компютърния колеж АМА на Филипините, който е свързан с "ILOVEYOU" според няколко фирми за компютърна сигурност от САЩ. Тя живее в същия апартамент, в който живеят Рамонес и приятелката му
Рамонес, един добре избръснат и представително изглеждащ 27 годишен младеж беше арестуван в Понеделник от служители на Филипинското Национално бюро за разследвания (НБР), подпомагани от агенти на Федералното бюро за разследвания (ФБР) на САЩ.
Филипинските следователи са изправени пред необичайно трудна задача, тъй като в тяхната страна има много малко закони регламентиращи компютърните престъпления. Най-вероятно те ще се опитат да използват законът срещу "неправилната употреба ма устройства за достъп", каквито са кредитните карти, номера и пароли за достъп, който предвижда максимална глоба до два пъти стойността на нанесените щети плюс до 20 години затвор.
Служителите, които са арестували Рамонес са конфискували компютърни дискове, други информационни носители и компютърни списания, но не са открили компютър в апартамента му.
Реул и приятелката му са банкови служители. Въпреки че Рамонес работи в компютърния отдел на банката, той е завършил счетоводство и специалността му е хардуер, а не софтуер.
"ILOVEYOU" се развихри през изминалата седмица, като порази компютри из целия свят. Основните производители на антивирусен софтуер вече пуснаха безплантни версии на анти-"ILOVEYOU" програми. Можете да пробвате на www.symantec.com, [www.mcafee.com], или [www.sophos.com]. За да избегнете инфекции от подобен род вируси се препоръчва да изключите Windows Scripting Host на Windows 98.
Биография на любовния вирус
Досега са открити са 13 версии на e-mail „червея“ LoveLetter
Съобщения за този „червей“ са започнали да пристигат в SARC рано сутринта на 4 май.
Според коментарите в кода на вируса, той произлиза от Манила, Филипините. Има широко разпространение и досега е заразил милиони компютри.
„Червеят“ се самоизпраща до e-mail адресите от адресната книга на Microsoft Outlook, но също се разпространява чрез Chat клиента mIRC. Вирусът променя файлове от локалните и мрежовите хард дискови устройства, като може да засегне файлове със следните разширения:
.vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .wav, .txt, .gif, .doc, .htm, .html, .xls, .ini, .bat, .com, .mp3, and .mp2.
Съдържанието на тези файлове ще бъде заменено с кода на „червея“, като по този начин се унищожава оригиналното им съдържание. Освен това, вирусът добавя към имената на засегнатите файлове разширението .vbs. Например, файл с име image.jpg ще бъде преименуван на image.jpg.vbs. Друга функция на „червея“ е да се опита да изтегли от Web програма-троянски кон за прихващане на пароли.
Досега в Symantec са открити 13 версии на VBS. LoveLetter.
Възпрепятства производителността: Може да задръсти e-mail сървъра.
Разпространение
* Subject на e-mail съобщението, с което идва:: ILOVEYOU
* Име на прикрепения файл: Love-letter-for-you.txt. vbs
* Големина на прикрепения файл: 10,307 bytes
* Цел на заразяване: Променя файлове с горепосочените разширения.
* Общи устройства: Променя и файлове, намиращи се на мрежови хард дискови устройства.
Техническо описание:
След като бъде стартиран, „червеят“ се самокопира в:
* директорията Windows като Win32dll.vbs
* директорията Windows/ System като MSKernel32.vbs
*директорията Windows/ System като Love-letter-for-you.txt.vbs
„Червеят“ проверява за съществуването на файл с име Winfat32.exe в директорията Windows/System. Ако този файл не съществува, „червеят“ наглася стартовата страница на Internet Explorer на Web сайт, съдържащ файл, наречен Win-bugsfix.exe. В момента този Web сайт е недостъпен. Изглежда, че е бил затворен.
Norton AntiVirus открива изтегления файл Win-bugsfix.exe като PWSteal. LoveLetter. Ако този файл съществува, „червеят“ създава следния ключ в регистъра: HKLM\Software\ Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX
Задачата на този ключ е да стартира „червея“ заедно със стартирането на машината. Стартовата страница в браузъра след това бива сменена с празна страница.
За всяко хард дисково устройство, включително и мрежови дискове, вирусът се опитва да зарази файловете с разширения .vbs и .vbe. „Червеят“ също търси файлове със следните разширения: .vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .wav, .txt, .gif, .doc, .htm, .html, .xls, .ini, .bat, .com, .mp3 и .mp2. След като намери тези файлове, той създава файлове със същите имена, но им прибавя и разширението .vbs и копира кода на вируса в тях, като по този начин сам създава още свои копия.
„Червеят“ също се разпространява чрез Chat клиента mIRC, създавайки файл script.ini в директорията на програмата mIRC, а този файл от своя страна изпраща файла Love-letter-for-you.htm на други потребители в Chat „стаята“.
„Червеят“ използва MAPI запитвания към Microsoft Outlook и създава съобщения, като преминава през всички адреси в адресната книга на e-mail клиента. „Червеят“ маркира тези получатели, използвайки регистъра, с цел да им изпрати съобщението само веднъж.
Subject-a на съобщението гласи: ILOVEYOU
Самото съобщение има следния текст: kindly check the attached LOVELETTER coming from me.(в превод: бъдете така добри да погледнете прекрепеното любовно писмо, идващо от мен>)
Прикрепен към съобщението е файла:Love-letter-for-you.txt.vbs
Накрая, вирусът също копира файла Love-letter-for-you.htm в директорията Windows/System, за да може да бъде изпратен при влизане на потребителя в IRC чрез клиента mIRC.
Премахване на вируса:
Инструмент за премахване на заразата с VBS.LoveLetter, включително всички известни версии, може да се изтегли от сайта на Symantec.
1. Изтрийте всички файлове, които Norton AntiVirus засече като VBS.Loveletter.A, VBS.LoveLetter.Variant и PWSteal.LoveLetter.
2. Редактирайте регистъра чрез програмата Regedit.exe. Намерете следния ключ в регистъра:
HKEY_LOCAL_MACHINE\
Software\Microsoft\Windows\CurrentVersion\Run
От дясната страна на прозореца потърсете регистър с име WIN-BUGSFIX. Щракнете с десния бутон на мишката върху WIN-BUGSFIX и изберете Delete.
3. Възстановете в браузъра си стартовата страница.
Рамонес, един добре избръснат и представително изглеждащ 27 годишен младеж беше арестуван в Понеделник от служители на Филипинското Национално бюро за разследвания (НБР), подпомагани от агенти на Федералното бюро за разследвания (ФБР) на САЩ.