Proprio quando si temeva una nuova ondata del pericoloso virus CIH, ben noto ai più per la sua subdola caratteristica di cancellare la EEPROM del BIOS, è arrivato invece questo emulo di Melissa, ILOVEYOU (ILY), in grado di infettare i PC via e-mail. Questo worm è scritto in Visual Basic Script e si attiva quando si lancia l’allegato di posta elettronica LOVE-LETTER-FOR-YOU.TXT.vbs .
Come abbiamo già scritto in una news di venerdì, il virus colpisce soltanto i PC con il Windows Scripting Host installato: sotto Windows 95 e Windows NT 4 le possibilità che il virus possa agire sussistono solo nel caso in cui vi si trovi installato Internet Explorer 5.
Questo worm usa come canale principale per la sua diffusione la posta elettronica (Microsoft Outlook), ma è anche capace di servirsi del celebre programma di chat mIRC.
Quando VBS/LOVELETTER viene mandato in esecuzione, copia sé stesso
nei seguenti file:
MSKernel32.vbs e LOVE-LETTER-FOR-YOU.TXT.vbs nella directory di
sistema e Win32dll.vbs nella directory di Windows.
Inoltre crea le seguenti chiavi del registro che saranno attivate al
riavvio successivo:
– HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run MsKernel32
– HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunServices Win32DLL
ILY dopo avere infettato il computer invia sé stesso attraverso Outlook
come attachment sfruttando la stessa tecnica del virus Melissa.
Il messaggio infetto viene inviato a tutti gli indirizzi presenti
nella rubrica di Outlook. Il messaggio, nella sua forma originaria, ha la seguente struttura:
Subject: ILOVEYOU
Body: kindly check the attached LOVELETTER coming from me.
Il worm è anche in grado di sapere se un PC è già stato infettato ed in tal caso evita di ripetere la procedure di replicazione via mail o di sovrascrivere nuovamente i file.
I-Worm.LoveLetter, questo uno dei nomi “scientifici” dati al virus, testa la presenza del file WINFAT32.EXE nella cartella di sistema di Windows. Nel caso in cui il file non sia presente, il worm modifica una particolare chiave nel registro di Windows che gli permette di impostare l’indirizzo della pagina iniziale mostrata all’avvio di Internet Explorer. Il nuovo indirizzo viene scelto a caso tra quattro indirizzi Web che fanno tutti capo al server di SkyNet.
Tutti gli indirizzi puntano al file WIN-BUGSFIX.EXE, che nelle intenzioni dell’autore del worm doveva essere prelevato attraverso Internet Explorer e memorizzato nel percorso C: , per poi essere eseguito al successivo avvio del sistema operativo a causa di una chiave del
registro da lui stesso creata. In realtà tale operazione non pare avere alcun esito, dal momento che il file WIN-BUGSFIX.EXE sembra essere stato rimosso da tutti gli indirizzi sopra menzionati.
Al suo avvio, il trojan tenta di trovare una finestra nascosta di Windows con nome ‘BAROK?’. Se la finestra risulta assente il trojan effettua un test sulla presenza della chiave WinFAT32 nel seguente percorso del Registro:
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
Se la chiave non esiste, il trojan la crea, copia sé stesso nella cartella di sistema di Windows usando il nome WINFAT32.EXE e quindi scrive nuovamente nel Registro allo scopo di creare una nuova chiave che permetterà l’esecuzione del trojan ad ogni avvio di Windows. A questo punto il trojan imposta la pagina iniziale di Internet Explorer a “about:blank” (pagina vuota) e tenta di trovare e cancellare le seguenti chiavi nel Registro:
– HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Policies Network HideSharePwds
– HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Policies Network DisablePwdCaching
– .DEFAULT Software Microsoft Windows CurrentVersion Policies Network HideSharePwds
-.DEFAULT Software Microsoft Windows CurrentVersion Policies Network DisablePwdCaching
Il trojan registra una nuova classe di finestre e ne crea una nascosta con il titolo impostato a ‘BAROK?’, quindi rimane residente nella memoria del sistema come applicazione non visibile. Subito dopo il suo avvio e nel momento in cui un contatore interno raggiunge un determinato valore, il trojan carica in memoria la libreria dinamica MPR.DLL, chiama la funzione WNetEnumCachedPasswords e invia le password trovate all’indirizzo mailme@super.net.ph. Il trojan usa il server ‘smpt.super.net.ph’ per spedire le e-mail. Il soggetto delle e-mail è ‘BAROK?’
Se il file WINFAT32.EXE non esiste, ILY imposta la pagina di partenza di Internet Explorer su un sito web da cui scaricare un file chiamato WIN-BUGSFIX.EXE, poi crea la seguente chiave di registro che manderà in esecuzione WIN-BUGSFIX al prossimo riavvio:
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run WIN-BUGSFIX
Questo file, raccoglie informazioni come le password di accesso ad Internet, i DNS dei PC infetti e le invia ad un?e-mail delle Filippine.
Per inviare il messaggio con le informazioni raccolte, il trojan non è obbligato ad utilizzare Microsoft Outlook o la funzionalità MAPI; al contrario usa i TCP/IP sockets direttamente attraverso SMTP. Dopo che il messaggio è stato spedito, accede al sistema, disabilita le password cache e crea una procedura (attraverso una finestra nascosta) che si attiva ogni 3 minuti. Il virus utilizza fra le altre, le seguenti librerie condivise:
– ADAI32.DLL: grazie a questa DLL importa le API nel sistema operativo, permettendo l’accesso al Registro;
– KERNEL32.DLL: con questa trova la system directory;
– RASAPI32.DLL: attraverso di essa ottiene le informazioni che si trovano nella rubrica.
ILY inoltre ricerca la presenza di alcuni tipi di file apportandovi le seguenti modifiche:
– i file con estensione .vbs o .vbe vengono sovrascritti con il codice del worm;
? i file con estensione .js, .jse, .css, .sct e .hta: il worm crea un nuovo file avente lo stesso nome del file originale ma con estensione .vbs. Il file originale viene cancellato;
? i file con estensione .jpg e .jpeg sono sovrascritti e ridenominati in
.jpg.vbs e .jpeg.vbs. Nel nuovo file viene scritto il codice del worm. Il file originale viene cancellato;
? i file con estensione .mp3 e .mp2 vengono rispettivamente copiati come .mp3.vbs e mp2.vbs, tali copie sono poi sovrascritte dal worm e l?attributo del file originale è cambiato in nascosto;
– se è installato mIRC, ILY sovrascrive il file ?mirc.ini? e lo abilita per
mandare sé stesso attraverso IRC usando il file “LOVE-LETTER-FOR-YOU.HTM”che si trova nella direcory di sistema di Windows;
? viene inoltre creato un file in formato HTML che contiene lo script in VBScript per aumentare le possibilità di diffusione.
Quelle che seguono sono le istruzioni dettagliate su come eliminare il virus manualmente. Mi sento di suggerire questa tecnica solo ai più esperti: gli altri sarebbe meglio si affidassero ed un buon software antivirus e all’eventuale supporto tecnico fornito dalla casa del prodotto.
1) Aprite l’editor di registro di Windows (REGEDIT.EXE) e fate un backup del registro (File/Esporta?), dopodiché cancellate le seguenti chiavi:
– HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run MsKernel32
– HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run WinFAT32
– HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunServices Win32DLL
– HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run WIN-BUGSFIX
2) Cambiate la pagina di partenza di Internet Explorer e quindi fate ripartire il computer.
3) Aprite il registro di sistema e andate in HKEY_LOCAL_MACHINE / Software / Microsoft / Windows / CurrentVersion / Run
– Nel pannello di destra cercate le chiavi che contengono i seguenti valori e cancellatele:
?:WindowsSystem MSKernel32.vbs” e ?WIN-BUGSFIX.exe?.
Queste sono le chiavi che permettono al worm di essere caricato ad ogni avvio di Windows.
4) Chiudete il registro e riavviate il PC in modalità MS-DOS
5) Andate in C: e, se esiste, rimuovete il file WIN-BUGSFIX.exe
6) Riavviate il PC e accedete a Windows, dopodiché rimuovete tutti i file con estensione ?*.???.vbs? e quelli con estensione *.vbs.
A questo punto il vostro PC dovrebbe essere ?disinfettato?. Per verificarlo non vi resta che scaricare uno dei tool gratuiti che in questi giorni si possono trovare in Rete (ad esempio quello di Panda Software).
VARIANTI
A pochi giorni dalla diffusione di ILY, esistono già delle varianti del trojan: questo purtroppo è dovuto al fatto che i file .vbs sono facilissimi da editare e modificare anche da parte di chi ha pochissime conoscenze in materia. Purtroppo un altro terribile aspetto di questa nuova generazione di virus VBScript.
Variant B
Questa variante cancella tutti i file INI e BAT al posto dei JPG e JPEG.
Subject: fwd: joke
Message Body:
Attachment: VERY FUNNY.VBS
Variant C
Questa variante riporta nel soggetto “A killer for VBS/LoveMail and VBS/Kakwom:”. Il messaggio contenuto nel corpo della mail invece contiene la frase “Start the attachement to clean all your files and hard discs”. L’allegato di posta elettronica contiene infine il file “viruskiller.vbs”.
Variant D:
Questa variante riporta nel soggetto “Mothers Day Order Confirmation” , nel corpo la frase “We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place. Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com”, mentre questa volta l’allegato contiene il file “mothersday.vbs”.
ILY ha avuto una diffusioen così rapida, si calcola circa il doppio di quella che aveva fatto registrare Melissa, che i produttori di antivirus si sono trovati a dover affrontare il problema nel giro di ore. Ad oggi praticamente tutti i principali produttori di antivirus hanno rilasciato aggiornamenti pe ri loro prodotti in grado di rilevare il worm, ma una volta scaricati è bene non abbassare la guardia: ogni giorno nascono nuove varianti e sarebbe bene abituarsi ad aggiornare il proprio antivirus anche più volte in una settimana.
Vediamo dunque tutti i produttori che ci hanno inviato la conferma di aggiornamento dei loro prodotti.
– AVP : già il 4 maggio, l?antivirus del Kasperkys Labs è stato aggiornato contro tale antivirus.
– Computer Associates : anche questo produttore è stato uno dei primi a rilasciare un aggiornamento per i propri antivirus. Da segnalare che InoculateIT Personal Edition, l’antivirus di CAI ad uso personale, è gratuito e gode di aggiornamenti quasi quotidiani scaricabili con una comoda funzione di autodownload.
– F-Secure : Mikko Hypponen, Manager del centro antivirus di F-Secure, ha dichiarato che:? Questo worm si propaga con velocità impressionante. Noi abbiamo avuto la prima segnalazione alle 9 del mattino del 6 Maggio, dalla Norvegia e a partire dalle 13 dello stesso giorno, abbiamo avuto segnalazioni da oltre 20 nazioni. Questa epidemia, supera quella provocata dal Melissa sia per velocità che per danni.” Risto Siilasmaa, presidente e CEO di F-Secure ha osservato che, essendo il sorgente del worm facilmente modificabile, sono già state trovate 5 varianti e probabilmente, ne esistono molte altre.
Anche F-Secure ha rilasciato gli aggiornamenti del caso sul proprio sito.
– McAfee : gli utenti del McAfee antivirus devono scaricare il file extra.dat che è in grado rilevare e rimuovere tale worm. Coloro che usano Microsoft Exchange possono scaricare il GroupShield Exchange On-Demand Console dal sito web della McAfee B2B per rilevare e rimuovere il LoveLetter worm.
–
myCIO.com ( http://www.mycio.com ), la
divisione Enterprise di NAI, ha rilasciato due utility gratuite scaribili
al seguente indirizzo web:
http://www.mycio.com/content/outbreaks/iloveyou.asp per
la rilevazione/rimozione del VBS/LOVELETTER sugli Exchange E-mail server: una
che controlla via Internet e l?altra che deve essere scaricata ed eseguita in
locale.
Panda Software ( http://www.pandasoftware.com/it ):
oltre che ad avere rilasciato in poco tempo un aggiornamento per il proprio
antivirus, Panda Software è stata anche una delle pochissime software house ad
avere rilasciato un?utility gratuita per la rilevazione/rimozione del
VBS/LOVELETTER chiamata ANTILOVE.EXE
che può essere scaricata al seguente indirizzo web: http://www.pandasoftware.es/redirlover.asp?action=1
– Symantec ( http://www.symantec.it ):
Paolo Ardemagni, Direttore di Symantec per l?Italia e i Mercati Emergenti,
riguardo questo nuovo worm, ha detto
che:? Vale il solito consiglio, se non siete sicuri dell’origine dell’email, o
avete sospetti, non aprite il messaggio né tantomeno l’allegato e
tenete d’occhio i siti Web di Symantec per tutti gli aggiornamenti sulle nuove
definizioni dei virus. E’ comune che i virus si riproducano
attraverso varianti, dopo un primo boom con un certo nome, ma nel caso di
VBS.LoveLetter.A, il problema è stato peggiorato dal fatto che
il codice del virus è stato messo online su siti Web e lascia tracce software
su tutti i computer che infetta. Se un autore di virus per caso
viene infettato sul suo PC, ha anche accesso al codice e può produrne una
variante di sua invenzione".
– Trend Micro ( http://www.antivirus.com ):
insieme con Panda Antivirus, è una delle software house che prodotto un tool
gratuito contro ILOVEYOU chiamata SWAT.EXE scaricabile al seguente indirizzo
web: http://www.antivirus.com/SWAT.EXE
– Wavex ( http://www.wavex.co.uk ): per
venire incontro a coloro che non hanno un antivirus o che per altri motivi on
sono in grado di rimouvere
il virus ILY, la Wavex ha rilasciato uno programma gratuito, che si trova può
scaricare dal
suo sito web, che svolge le seguenti operazioni:
– ripristina i valori originali del registro di sistema modificati dal worm
impedendogli così
di essere eseguito al riavvio successivo;
– cambia la pagina web di partenza di Internet Explorer per evitare che il
sistema, se infetto, si colleghi con uno
dei siti web per scaricare il file Win-Bugfix.exe
– controlla tutti i dischi del sistema verificando quali file con estensione
.vbs sono infetti inserendoli in un?elenco.