Table of Contents
Jeśli Twoja firma ma zainstalowane oprogramowanie szpiegujące Loveletter na komputerze rodzinnym, ten przewodnik może pomóc w jego naprawie.
Zatwierdzone
Szczegóły techniczne
To robak internetowy, który wywołał obecną globalną epidemię w maju 2000 roku. Robak ten rozprzestrzenia się jako poczta e-mail, wysyłając wiadomości z
dotyczy komputera osobistego. Podczas rozprzestrzeniania się robak działa dzięki MS Outlook i przekazuje do siebie wszystkie adresy zapisane w książce adresowej MS Outlooka. W pewnym sensie zainfekowany komputer wysyła wiele wiadomości na wiele adresów przechowywanych na bieżącej liście nazw MS Outlooka.
Robak jest prawdopodobnie napisany dokładnie w podstawowym języku skryptowym „Visual Script” (VBS). Działa tylko na komputerach, które niestety mają zainstalowany pełny host skryptów Windows (WSH). W systemie Windows 98 w połączeniu z systemem Windows 2007 WHS jest instalowany domyślnie. Do
rozprzestrzenia się, robak dostaje się do MS Outlooka i korzysta z własnych funkcji i list rozwiązań, które niewątpliwie są dostępne tylko w Outlooku 98/2000, no cóż, robak
może być rozpowszechniany tylko w tej wersji MS Outlook jest zawsze poprawnie zainstalowany.
Po uruchomieniu robak wysyła swoje prawdziwe kopie pocztą e-mail, uruchamia się zgodnie z systemem, wykonuje destrukcyjne działania, pobiera i instaluje trojana. wormь może być również emitowany przez kanały mIRC.
barokowy-loveletter(vbe)
wprowadzili: spyder i [email protected] przez @GRAMMERSoft Group / Manila, Filipiny
Rozprzestrzenianie się
Worm pojawia się po komputerze jako osobista wiadomość e-mail z powiązanym plikiem VBS, którym jest sam robak. Wiadomość, gdy stara wersja konkretnego robaka:
Kopia wiadomości: Sprawdź załączony LIST MIŁOSNY ode mnie.
Załączony plik koncepcyjny: LOVE-LETTER-FOR-YOU.TXT.vbs
Po aktywacji przez tego użytkownika, Double worm uruchamia (po kliknięciu na bardzo dobry załączony plik) MS Outlook, uzyskuje dostęp do książki adresowej i może wyświetlić wszystkie adresy z niej w całości
i wysyła wiadomości do wszystkich z dołączoną konkretną kopią. Temat, tekst i nazwa domku dołączona, aby upewnić się, że wiadomość jest zawsze taka sama.
Rorba instaluje się również w nowym systemie hosta. Tworzy w sobie kopie znalezione w systemie Windows z witrynami do przesyłania artykułów o naszych nazwach:
Pliki te są następnie tworzone z powrotem do rejestru systemowego przez autostart systemu Windows:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32=MSKERNEL32.VBS
HKLMOprogramowanieMicrosoftWindowsCurrentVersionRunServicesWin32DLL = Win32DLL.VBS
Zatwierdzone
Narzędzie naprawcze ASR Pro to rozwiązanie dla komputera z systemem Windows, który działa wolno, ma problemy z rejestrem lub jest zainfekowany złośliwym oprogramowaniem. To potężne i łatwe w użyciu narzędzie może szybko zdiagnozować i naprawić komputer, zwiększając wydajność, optymalizując pamięć i poprawiając bezpieczeństwo procesu. Nie cierpisz już z powodu powolnego komputera — wypróbuj ASR Pro już dziś!
W rezultacie, określony robak jest prawie na pewno reaktywowany przy każdym ponownym uruchomieniu systemu Windows. dżdżownica
Stworzy to również dowolny typ dołączony do droppera HTM w katalogu metod Windows do użycia podczas publikowania w kanałach mIRC (patrz poniżej). To duplikat nosi tytuł LIST MIŁOSNY DLA CIEBIE:
.TXT.HTM
Pobierz plik z końmi trojańskimi
W celu zainstalowania trojana w systemie robak korzysta z adresu URL strony głównej Internet Explorera. Nowy adres URL wskazuje stronę internetową (losowo wybieraną w czterech opcjach) i powoduje, że Eksplorator plików pobiera plik EXE
Należący. Plik nazywa się WIN-BUGFIX.EXE i często jest trojanem. Następnie robak zachowuje ten plik na komputerze osobistym systemu w nowej sekcji autouruchamiania:
=hklmsoftwaremicrosoftwindowsbieżącawersjarunwin-naprawienie błędów WIN-NAPRAWIENIE BŁĘDÓW.exe
Następnym razem Internet Explorer pobiera moją pamięć podręczną trojana i zwykle kończy się w katalogu pobierania systemu. Przy następnym uruchomieniu systemu Windows trojan przejmie kontrolę i
skopiuj t samodzielnie do dokładnego modelu katalogu Windows o nazwie WINFAT32.EXE.
Jeśli trojan był domyślnie ładowany, robak ustawia stronę główną Internet Explorera na “about:blank”.
Pobrany i zainstalowany plik to dowolny rodzaj trojana, który kradnie hasła. Staje się Twoim lokalnym komputerem i rozwiązaniem IP, loginami i hasłami sieciowymi, RAS
informacje, służą do pomocy. I wysyła je do jeźdźca trojana. Ostatnio zeskanowane potrawy wysyłają wiadomości na adres „[email protected]”, często z takim tematem
jak bardzo następny barok…:
email.passwords.sender.trojan
Transmisja na kanałach IRC
MIRC32.EXE, MLINK32.EXE, MIRC.INI, SKRYPT.INI, MIRC.HLP
W skrajnych przypadkach przynajmniej jeden z tych znalezionych plików może znajdować się w podkatalogu dotyczącym robaka
umieszcza tam duży nowy plik SCRIPT.INI. Ten plik zawiera instrukcje mIRC
że robak pocztowy (LOVE-LETTER-FOR-YOU.TXT.File) w wersji htm, jeśli chcesz prawie użytkowników
dołącz do uszkodzonego kanału IRC.
Skrypt mIRC
Proszę nie zmieniać tego skryptu… mIRC bez wątpienia ulegnie uszkodzeniu, jeśli mIRC to zrobi
uszkodzony… WINDOWS zostanie utracony i nie będzie działał poprawnie. dziękuję ci
Khaled Mardam Bey
http://www.mirc.com
Kiedy użytkownik IRC uzyska ten kod HTML, pozostaje ponownie zainfekowany w katalogu pobierania IRC. Robak jest następnie aktywowany z określonego pliku pomysłu tylko wtedy, gdy gracz na niego kliknie. Ponieważ ustawienia zabezpieczeń przeglądarki internetowej nie pozwalają pakietom oprogramowania gwarantować, że przeglądasz pliki na dysku i wyświetlasz doskonały komunikat, robak używa unikania, aby temu zapobiec. Najpierw oszust zobaczy komunikat:
Ten plik HTML wymaga kontrolki ActiveX
Oprogramowanie do naprawy komputera to tylko jedno kliknięcie - pobierz je teraz.