Virus/Come sbarazzarsi di ILoveYou

Approfondiamo la conoscenza di questo famelico cavallo di Troia e vediamo come riuscire a rimuoverlo manualmente dal nostro PC, dove scaricare gli aggiornamenti antivirus ed i tool gratuiti per la rimozione

Proprio quando si temeva una nuova ondata del pericoloso virus CIH, ben noto ai più per la sua subdola caratteristica di cancellare la EEPROM del BIOS, è arrivato invece questo emulo di Melissa, ILOVEYOU (ILY), in grado di infettare i PC via e-mail. Questo worm è scritto in Visual Basic Script e si attiva quando si lancia l'allegato di posta elettronica LOVE-LETTER-FOR-YOU.TXT.vbs .

Come abbiamo già scritto in una news di venerdì, il virus colpisce soltanto i PC con il Windows Scripting Host installato: sotto Windows 95 e Windows NT 4 le possibilità che il virus possa agire sussistono solo nel caso in cui vi si trovi installato Internet Explorer 5.
Questo worm usa come canale principale per la sua diffusione la posta elettronica (Microsoft Outlook), ma è anche capace di servirsi del celebre programma di chat mIRC.

Quando VBS/LOVELETTER viene mandato in esecuzione, copia sé stesso
nei seguenti file:
MSKernel32.vbs e LOVE-LETTER-FOR-YOU.TXT.vbs nella directory di
sistema e Win32dll.vbs nella directory di Windows.
Inoltre crea le seguenti chiavi del registro che saranno attivate al
riavvio successivo:
- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MsKernel32
- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices \ Win32DLL
ILY dopo avere infettato il computer invia sé stesso attraverso Outlook
come attachment sfruttando la stessa tecnica del virus Melissa.
Il messaggio infetto viene inviato a tutti gli indirizzi presenti
nella rubrica di Outlook. Il messaggio, nella sua forma originaria, ha la seguente struttura:

Subject: ILOVEYOU
Body: kindly check the attached LOVELETTER coming from me.

Il worm è anche in grado di sapere se un PC è già stato infettato ed in tal caso evita di ripetere la procedure di replicazione via mail o di sovrascrivere nuovamente i file.

I-Worm.LoveLetter, questo uno dei nomi "scientifici" dati al virus, testa la presenza del file WINFAT32.EXE nella cartella di sistema di Windows. Nel caso in cui il file non sia presente, il worm modifica una particolare chiave nel registro di Windows che gli permette di impostare l'indirizzo della pagina iniziale mostrata all'avvio di Internet Explorer. Il nuovo indirizzo viene scelto a caso tra quattro indirizzi Web che fanno tutti capo al server di SkyNet.

Tutti gli indirizzi puntano al file WIN-BUGSFIX.EXE, che nelle intenzioni dell'autore del worm doveva essere prelevato attraverso Internet Explorer e memorizzato nel percorso C:\ , per poi essere eseguito al successivo avvio del sistema operativo a causa di una chiave del
registro da lui stesso creata. In realtà tale operazione non pare avere alcun esito, dal momento che il file WIN-BUGSFIX.EXE sembra essere stato rimosso da tutti gli indirizzi sopra menzionati.
Al suo avvio, il trojan tenta di trovare una finestra nascosta di Windows con nome 'BAROK?'. Se la finestra risulta assente il trojan effettua un test sulla presenza della chiave WinFAT32 nel seguente percorso del Registro:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

Se la chiave non esiste, il trojan la crea, copia sé stesso nella cartella di sistema di Windows usando il nome WINFAT32.EXE e quindi scrive nuovamente nel Registro allo scopo di creare una nuova chiave che permetterà l'esecuzione del trojan ad ogni avvio di Windows. A questo punto il trojan imposta la pagina iniziale di Internet Explorer a "about:blank" (pagina vuota) e tenta di trovare e cancellare le seguenti chiavi nel Registro:

- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Network \ HideSharePwds
- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Network \ DisablePwdCaching
- .DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Network \ HideSharePwds
-.DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies\ Network \ DisablePwdCaching

Il trojan registra una nuova classe di finestre e ne crea una nascosta con il titolo impostato a 'BAROK?', quindi rimane residente nella memoria del sistema come applicazione non visibile. Subito dopo il suo avvio e nel momento in cui un contatore interno raggiunge un determinato valore, il trojan carica in memoria la libreria dinamica MPR.DLL, chiama la funzione WNetEnumCachedPasswords e invia le password trovate all'indirizzo mailme@super.net.ph. Il trojan usa il server 'smpt.super.net.ph' per spedire le e-mail. Il soggetto delle e-mail è 'BAROK?'

Se il file WINFAT32.EXE non esiste, ILY imposta la pagina di partenza di Internet Explorer su un sito web da cui scaricare un file chiamato WIN-BUGSFIX.EXE, poi crea la seguente chiave di registro che manderà in esecuzione WIN-BUGSFIX al prossimo riavvio:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ WIN-BUGSFIX

Questo file, raccoglie informazioni come le password di accesso ad Internet, i DNS dei PC infetti e le invia ad un?e-mail delle Filippine.
Per inviare il messaggio con le informazioni raccolte, il trojan non è obbligato ad utilizzare Microsoft Outlook o la funzionalità MAPI; al contrario usa i TCP/IP sockets direttamente attraverso SMTP. Dopo che il messaggio è stato spedito, accede al sistema, disabilita le password cache e crea una procedura (attraverso una finestra nascosta) che si attiva ogni 3 minuti. Il virus utilizza fra le altre, le seguenti librerie condivise:

- ADAI32.DLL: grazie a questa DLL importa le API nel sistema operativo, permettendo l'accesso al Registro;
- KERNEL32.DLL: con questa trova la system directory;
- RASAPI32.DLL: attraverso di essa ottiene le informazioni che si trovano nella rubrica.

ILY inoltre ricerca la presenza di alcuni tipi di file apportandovi le seguenti modifiche:

- i file con estensione .vbs o .vbe vengono sovrascritti con il codice del worm;
? i file con estensione .js, .jse, .css, .sct e .hta: il worm crea un nuovo file avente lo stesso nome del file originale ma con estensione .vbs. Il file originale viene cancellato;
? i file con estensione .jpg e .jpeg sono sovrascritti e ridenominati in
.jpg.vbs e .jpeg.vbs. Nel nuovo file viene scritto il codice del worm. Il file originale viene cancellato;
? i file con estensione .mp3 e .mp2 vengono rispettivamente copiati come .mp3.vbs e mp2.vbs, tali copie sono poi sovrascritte dal worm e l?attributo del file originale è cambiato in nascosto;
- se è installato mIRC, ILY sovrascrive il file ?mirc.ini? e lo abilita per
mandare sé stesso attraverso IRC usando il file "LOVE-LETTER-FOR-YOU.HTM"che si trova nella direcory di sistema di Windows;
? viene inoltre creato un file in formato HTML che contiene lo script in VBScript per aumentare le possibilità di diffusione.
TAG: sicurezza