Mad Membre
Nombre de messages : 104 Age : 30 Date d'inscription : 15/04/2007
| Sujet: le virus connue de tous ! Jeu 5 Juil - 21:04 | |
| je pense que le viurs : I LOVE YOU et le plus connue... ps : et le plus étudier - Citation :
- Le 4 mai 2000, la prise de conscience est brutale, les médias font leurs gros titres de l'arrivée d'un nouveau virus, pernicieux qui porte un nom qui prête vraiment à confusion, "I love You".
Le virus "I love you" et ses congénères apparut plus récemment, ont provoqué une réaction forte et une prise de conscience des dégâts que peuvent causés ces petits programmes.
Ce fichier décrit le fonctionnement de ce virus et les méthodes de se protéger.
Cette analyse s'inspire d'un message posté sur fr.comp.securite dû à Jean-Claude Bellamy, qui a également placé sur son site un descriptif très intéressant du virus à voir sur : http://www.bellamyjc.net/.
Le virus en question est un VBscript, un langage qui a été développé par Microsoft pour réaliser des macro-commandes sous Windows.
Ce nouveau virus est du type "worm", et se présente dans un Email sous la forme de pièce-jointe nommée "LOVE-LETTER-FOR-YOU.TXT.vbs". Puisque c'est un VBscript, qui a donc tous les risques possibles de s'exécuter sur une plate-forme Windows suffisamment récente. En particulier Windows 98 et Windows 2000, sur lesquelles WSH - Windows Script Host - est installé par défaut. Les postes sous Windows 95 et Windows NT4 sur lesquels on n'a pas installé WSH ne risquent rien.
Description du script
(NB: dans tout ce qui suit, est désigné par "\windows" le répertoire principal de Windows, et par "\windows\system" le répertoire système de Windows. C'est à adapter suivant la version - Win9x ou NT/W2k)
1)Préparation de l'exécution
Modification de la base de registre par mise à 0 de la variable : HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting\Host\Settings\Timeout NB: Cette variable permet de stopper tout script au bout d'un temps donné., 0 signifie "pas d'arrêt".
2)Recopie locale du virus
Le script se recopie en se renommant, dans les fichiers suivants :
\windows\Win32DLL.vbs \windows\system\MSKernel32.vbs \windows\system\LOVE-LETTER-FOR-YOU.TXT.vbs 3)Modification de la base de registre pour auto-relancement
Dans la clé : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Ajout de l'entrée "MSKernel32" Valeur : "\Windows\system\MSKernel32.vbs" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices (NB: n'existe pas sous Windows NT et Windows 2000) Ajout de l'entrée "Win32DLL" Valeur : "\Windows\Win32DLL.vbs Cela aura pour conséquence de relancer le script/virus à chaque démarrage de Windows
4)Préparation d'autres infections virales
Test d'existence du fichier "\windows\system\winFAT32.exe" S'il n'existe pas : modification de la page d'accueil de Internet Explorer par modification de la clé : HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
Cette page pointe alors sur un URL (que VOLONTAIREMENT je ne citerai pas intégralement ici) commençant par "http://www.skyinet.net" et se terminant par "WIN-BUGSFIX.exe"
Il y a 4 adresses possibles, choisies aléatoirement. Les pseudos sont : "~young1s", "~angelcat", "~koichi" et "~chu"
Cette page est donc destinée à télécharger ce programme "WIN-BUGSFIX"qui est un cheval de Troie, qui récupère tous les mots de passe du poste et les envoie par Email à MAILME@SUPER.NET.PH. Cette action est dangereuse sous Windows 9x à cause des fichiers .pwl, facilement craquables, inoffensif sous NT ou W2k car les mots de passe sont stockés et chiffrés autrement)
Ensuite, WIN-BUGSFIX se recopie dans WINDOWS\SYSTEM\WinFAT32.EXE et ajoute une entrée "WinFAT32" dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run avec pour valeur "WINDOWS\SYSTEM\WinFAT32.EXE" Ainsi, ce cheval de Troie sera lancé à chaque démarrage de Windows.
5)Test d'existence du fichier "WIN-BUGSFIX.exe"
S'il existe : 5.1) modification de la base de registre : Dans la clé : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Ajout de l'entrée : "WIN-BUGSFIX" Valeur : "%downread%\WIN-BUGSFIX.exe"
5.2) remise à blanc de la page d'accueil de IE (pour étouffer les soupçons)
6)Création d'un fichier HTML destiné aux correspondants IRC
Le nom de ce fichier est "\windows\system\LOVE-LETTER-FOR-YOU.HTM". Il est titré "LOVELETTER - HTML", et contient un script en VBScript, dont le but est la création d'un fichier "\Windows\system\MSKernel32.vbs" (identique au virus initial). Comme ce fichier HTML contient un VBScript, quand on l'ouvrira, normalement Internet Explorer doit ouvrir une boite de dialogue demandant si on veut exécuter ce composant ActiveX.
Afin d'inciter le "client" à le faire, le fichier HTML affiche ce texte : "This HTML file need ActiveX Control "To Enable to read this HTML file" "Please press 'YES' button to Enable ActiveX" Et un "marquee" (texte défilant avec "----z------z---") s'affiche indéfiniment.
7)Examen de la messagerie (outlook)
Lecture de la clé HKEY_CURRENT_USER\Software\Microsoft\WAB pour déterminer les carnets d'adresses.
Création d'un message envoyé à toutes les adresses Sujet : "ILOVEYOU" Corps : "kindly check the attached LOVELETTER coming from me." PJ : le fichier "\windows\system\LOVE-LETTER-FOR-YOU.TXT.vbs" (le virus)
8)Infection de fichiers
Examen de tous les disques du PC locaux ET réseau. Examen de tous les fichiers de chaque répertoire Suivant les extensions de chaque fichier, l'infection va varier :
*.vbs, *.vbe les contenus de ces fichiers sont remplacés par le virus *.js, *.jse, *.css, *.wsh, *.sct, *.hta, les contenus de ces fichiers sont remplacés par le virus De plus, leur extensions sont remplacées par .vbs *.jpg, *.jpeg les contenus de ces fichiers sont remplacés par le virus de plus, .vbs est ajouté à leurs extensions *.mp3, *.mp2- un fichier contenant le virus est créé, le nom de ce fichier étant le nom du fichier inital suivi de ".vbs" - le fichier original reçoit l'attribut "caché" autres extensions : il ne se passe rien SAUF pour les fichiers suivants : mirc32.exe mlink32.exe mirc.ini script.ini mirc.hlp (Ces fichiers témoignent de l'utilisation de IRC) Dans ce cas, le fichier "script.ini" est (ré)écrit, et contient un script qui envoie à tout correspondant IRC le fichier \windows\system\LOVE-LETTER-FOR-YOU.HTM
Attitude préventive.
NE PAS OUVRIR CE FICHIER ou alors, suivre ma méthode : l'enregistrer en supprimant son extension VBS l'ouvrir AVEC un éditeur de texte ajouter tout au début la ligne suivante : quit (ainsi il ne pourra pas être exécuté) LE SUPPRIMER!!!
Attitude curative
Au niveau fichiers
Si on l'a exécuté, le MAL EST FAIT! Si on n'a pas de sauvegarde, on peut dire adieu à tous les .vbs, .js, hta, ... et les JPEG sont atteints. Quant aux mp3 (ou mp2), rien n'est perdu : - supprimer tous les "xxxx.mp3.vbs" - dans une fenêtre de commande, taper la commande attrib -h *.* de façon à voir réapparaitre les mp3 cachés
Au niveau système
SUPPRIMER LES FICHIERS :
\windows\Win32DLL.vbs \windows\system\MSKernel32.vbs \windows\system\LOVE-LETTER-FOR-YOU.TXT.vbs
EDITER LA BASE DE REGISTRE clés : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Supprimer les entrées : MSKernel32 WIN-BUGSFIX HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices (sous Windows 9X seulement) Supprimer l'entrée : Win32DLL
RECONFIGURER INTERNET EXPLORER Panneau de configuration Internet Onglet "Général" Effacer toute adresse suspecte dans la page de démarrage source : Virus : I LOVE YOU | |
|