Vírus e cia.

Iloveyou

Um worm de computador, identificado como "Love Bug" causou muita destruição a partir de 04 de maio de 2000, levando várias companhias européias e o Parlamento britânico a desligarem suas redes de e-mail. A House of Commons de Londres ( o equivalente à Câmara dos Deputados brasileira), desativou todos os seus sistemas de e-mail por duas horas para se proteger.

O nome do arquivo é VBS.LoveLet, sendo que alguns especialistas o chamaram de VBS.ILoveYou.Worm.

A ação do "Iloveyou"

É um worm que se espalha por canais mIRC e por e-mail, por meio do progamar de correio eletrônico MS Outlook. Não afeta outros leitores de email como o Messenger da Netscape, o Pegasus Mail ou o Eudora.

Tem a capacidade de destruir vários tipos de arquivos e seu poder de disseminação tem se ampliado por meio de muitas variantes que alteram o assunto dos e-mails que ele auto envia, usando o livro de endereços do MS Outlook. A pessoa contaminada passa a disseminar a praga virtual sem saber.

Ele envia, por e-mail ou por mIRC, um arquivo anexado sempre com a extensão.VBS que, quando executado, inicia o processo de contaminação e posterior disseminação.

Se o receptor usar o programa de correio eletrônico Outlook e executar o anexo o worm faz uma cópia de si mesmo na pasta de sistema e a envia para todos os endereços do livro de endereços do Outlook.

O email contém um script Visual Basic conhecido como "LOVE-LETTER-FOR-YOU.vbs", que chega como um anexo na mensagem. Em alguns casos, pode vir como um TXT, JPG, MP3, bem como outras extensões.

Utiliza uma técnica perigosa chamada "double extension" (extensão dupla). A "double extension" faz com que um anexo pareça ser inocente, escondendo a extensão original do arquivo para o usuário.

O vírus altera a configuração da máquina, passando a ser executado toda vez que o usuário liga o micro.

Pode causar sobrecarga nos servidores de e-mail, pois as pessoas, sem saber que foram infectadas, ficarão enviando o Iloveyou, de modo semelhante ao que aconteceu com o Happy99 e o Bubbleboy.

Ao enviar indiscriminadamente mails a todos endereços que encontra no Outlook, programa de e-mail eletrônico da Microsoft, o worm pode atingir e-mails que servem com "Gateway" para aparelhos de Fax e Pagers. Como ao final da linha não está um computador, ele imprime o código do próprio programa. Nesse caso, o prejuízo se restringe às páginas de fax impressas.

O worm tem grande poder de disseminação e contamina tanto computadores isolados como redes locais.

Modificações no sistema

- Um worm se sobrescreve sobre arquivos com extensão ASM, BAT, COM, DOC, INI, XLS, XLM, MDB, RAR, ZIP, PAS, GIF, JPG, JPEG, VBS, VBE, JS, JSE, CSS, HTM, HTML, WSH, WAV, QT, QTM, SCT, HTA, MP2, MP3.

Alguns desses arquivos ficam apenas com extensão .vbs, enquanto a outros é acrescentada a extensão VBS à sua atual extensão, ou seja, usa a técnica "double extension", substituindo esses arquivos por cópias dele mesmo, porém também com extensão VBS. Ex.: O arquivo sonho.jpg se tornaria sonho.jpg.vbs e seu conteúdo seria uma cópia do script do vírus. Evidentemente, se esse arquivo for executado, irá infectar o sistema.

- Altera a página inicial do Internet Explorer, direcionando para uma página em branco.

- Tenta fazer o download de um programa, por exemplo no site "www.skyinet.net/..../WIN-BUGSFIX>EXE" e adiciona entradas para rodar este programa, caso o download seja executado com sucesso.

- O LoveLet tentará enviar um arquivo HTML infectado, com o nome "LOVE-LETTER-FOR-YOU.htm" por meio de programas de batepapo, como o mIRC.

Algumas variantes conhecidas

O vírus do amor gerou filhotes e mais filhotes e agora atende por diferentes nomes: "Friend Message", "Mother’s Day", "Joke", "PresenteUOL" e muitos outros. Muitas variantes já são conhecidas, inclusive brasileiras:

Versão	Assunto	Anexo
VBS/LOVELETTER.A	ILOVEYOU	LOVE-LETTER-FOR-YOU.TXT.VBS
VBS/LOVELETTER.B	Susitikim shi vakara..	idem
VBS/LOVELETTER.C	FW: Joke	Very Funny.vbs Very Funny.htm
VBS/LOVELETTER.E	Mothers Day Order...	mothersday.vbs
VBS/LOVELETTER.F	Dangerous Virus Warning	virus_warning.jpg.vbs
VBS/LOVELETTER.G	Virus ALERT!!!	protect.vbs
VBS/LOVELETTER.H	ILOVEYOU	LOVE-LETTER-FOR-YOU.TXT.VBS
VBS/LOVELETTER.I	Important/Read Carefully	IMPORTANT.TXT.VBS
VBS/LOVELETTER.J	How to protect yourself..	Virus-Protection-Instructions.vbs
VBS/LOVELETTER.K	Thank You For Flying...	ArabAir.TXT.vbs
VBS/LOVELETTER.L	ILOVEYOU	LOVE-LETTER-FOR-YOU.TXT.VBS
VBS/LOVELETTER.M	Bewerbung Kreolina	BEWERBUNG.TXT.VBS
VBS/LOVELETTER.N	LOOK!	Look.vbs
VBS/LOVELETTER.O	ILOVEYOU	LOVE-LETTER-FOR-YOU.TXT.VBS
VBS/LOVELETTER.P	Variant Test	IMPORTANT.TXT.vbs
VBS/LOVELETTER.Q	Yeah, Yeah another time..	Vir-Liller.vbs
VBS/LOVELETTER.R	PresenteUOL	UOL.TXT.vbs
VBS/LOVELETTER.T	Recent Virus Attacks-Fix	BAND-AID.DOC.vbs

Evidentemente, com todas essas variantes o número e nome de arquivos criados no sistema é bastante diferente.

As variantes e os antivírus

O vírus foi escrito na linguagem Visual Basic, portanto qualquer pessoa sem grandes conhecimentos de programação pode criar mutações.

Nas variantes já identificadas há textos diferentes na linha de assunto e no corpo da mensagem. Entretanto, outras importantes mudanças foram feitas no código fonte do vírus, aumentando a capacidade de causar problemas de muitas dessas variantes.

A facilidade com que mudanças podem ser feitas no código do vírus demonstrou que soluções antivírus tradicionais (atualizações para cada variante) se tornaram obsoletas. Note-se que os fabricantes de antivírus tiveram um desgaste enorme para atualizar seus aplicativos de duas em duas horas, para oferecer proteção contra as novas mutações do vírus. O processo lento aumentou as possibilidades de contaminação, devido ao intervalo de tempo entre a descoberta de variantes e a distribuição das atualizações.

Com tantas atualizações necessárias, usuários e gerentes de rede começaram a questionar a eficácia dos antivírus, pois há grandes brechas de segurança nos sistemas.

Configuração original do "Iloveyou" no e-mail recebidoSubject: "ILOVEYOU"

Texto da mensagem - Message body:"Kindly check the attached LOVELETTER coming from me."
Arquivo anexo - Attachement: "LOVE-LETTER-FOR-YOU.VBS" (com tamanho = 10307 KBs)

Remoção por meio de programas antivírus

As últimas versões dos principais programas antivírus já tem informações sobre a maioria das variantes do Iloveyou. (É importante deixar habilitada a verificação automática, pois só assim o vírus pode ser detectado antes mesmo do documento ser aberto).

Entretanto, alguns programas pequenos (vacinas) foram disponibilizados para variantes específicas. A Aladdin Brasil disponibilizou o LoveLetter Cleaner - um miniaplicativo que analisa o sistema, procurando pelo vírus LoveLetter e todas as suas variantes. Se o seu sistema estiver infectado, o programa irá - além de avisá-lo, efetuar a limpeza local.

1. Para copiar o arquivo

a. do "site" original, acesse o sire abaixo e copie o arquivo.

Arquivo: cleanll.exe	.	Tamanho: 48 KB
Tipo: shareware	HP: http://www.aladdin.com.br/cleanll.exe ou ftp://ftp.esafe.com/pub/utils/cleanll.exe

b. ou clicando-se em "Download" com o botão direito do mouse e em algo como "Save link as".

Em qualquer um dos casos acima, escolha uma pasta em seu computador e salve o arquivo nela.
Se não tiver acesso ao Windows Explorer, copiar o arquivo para um disquete, num computador não contaminado.

Remoção manual do "Iloveyou" (algumas variantes)

Procedimentos para desinfectar uma máquina que contenha o "Iloveyou"

IMPORTANTE: Só execute esses procedimentos se realmente souber fazê-lo (edição de registro do Windows e uso de comandos do DOS), caso contrário recorra a alguém que tenha um bom conhecimento técnico para desinfectar o seu computador. Erros neste processo podem provocar danos sérios. Assim, imprima essa página para, depois, poder seguir as instruções, passo a passo.

1. Clique Use a função localizar do windows, para procurar os seguintes arquivos:
"MSKernerl32.vbs"
"Win32DLL.vbs"
"LOVE-LETTER-FOR-YOU.vbs"
"LOVE-LETTER-FOR-YOU.htm"
"WinFAT32.exe" na pasta de downloads do Windows
"WIN-BUGSFIX.exe" também napasta de downloads do Windows
"script.ini" no arquivo mIRC
Se o arquivo win32dll.vbs estiver na pasta WINDOWS do disco C (clique em Meu Computador, abra o disco C e abra a pasta WINDOWS) o computador foi infectado.
Exclua todos os arquivos citados acima.

2. Desconectar o computador, se ele estiver em rede, para evitar possível propagação do vírus.

3. Editar o registro do Windows
IMPORTANTE: Só siga o passo 3 se realmente souber fazê-lo (edição de registro do Windows), caso contrário recorra a alguém que tenha um bom conhecimento técnico para desinfectar o seu computador. Qualquer erro neste processo pode provocar danos irreversíveis.

a. Clique em Iniciar / Executar

b. Digitar REGEDIT e teclar Enter.

c. No painel da esquerda, clique no sinal "+" à esquerda da pasta HKEY_LOCAL_MACHINE

d. depois clique no sinal "+" à esquerda da pasta Software

e. depois clique no sinal "+" à esquerda da pasta Windows

f. depois clique no sinal "+" à esquerda da pasta Current Version

g. e, depois, clique duas vezes na pasta Run, dentro da pasta Current Version.

h. No painel do lado direito, procure pelas chaves de registro (documentos identificados pelo ícone com as letras ab) que contém (listados sob a coluna "Dados") ":\Windows\System\MSKernel32.vbs" e "\WIN-BUGSFIX.exe".

i. Clique sobre estas chaves para selecioná-las na janela da direita.

j. Clique em DELETE. Responda SIM para apagar as chaves.

k. Procure pela chave que contém o valor de dados ":\Windows\System\Win32DLL.vbs". Ela deve estar na pasta Run Services, no lado esquerdo da tela do Editor de Registro. Do mesmo modo apague essa chave.

l. Sair do Editor do Registro.

4. O vírus também altera a página inicial visualizada no Internet Explorer. Para mudar, clique com o botão direito do mouse em cima do ícone do Internet Explorer no seu desktop. Na tab General, mude o endereço para uma página em branco ou para a sua página padrão e clique OK.

5. Para completar a desinfecção:

a. Procurar e deletar, em todos os seus discos não removíveis (HD e discos de rede), os arquivos
"LOVE-LETTER-FOR-YOU.TXT" e "LOVE-LETTER-FOR-YOU.HTM".

b. Verificar se algum dos seguintes arquivos de mIRC está em seu computador:
mirc32.exe, mlink32.exe, mirc.ini, script.ini or mirc.hlp
Se algum estiver, o vírus deve ter criado um arquivo script.ini dentro da pasta destes arquivos. Deletar todos os arquivos script.ini relacionados ao mIRC.

c. Busque e delete todas as ocorrências dos arquivos abaixo - para evitar nova reinfecção do seu sistema:
C:\ WINDOWS \ SYSTEM \ MSKERNEL32.VBS e assemelhados
C:\ WINDOWS \ WIN32DLL.VBS e assemelhados
C:\ WINDOWS \ SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS e assemelhados

d. Busque e delete todos os arquivos que tenham a extensão dupla citada anteriormente (VBS, VBE, JS, JSE, CSS, WSH, SCT, JPG, JPEG, MP3 ou MP2) e também aqueles que tenham o mesmo nome de outros arquivos seus, porém com a extensão trocada para VBS - para evitar nova reinfecção do sistema.

e. As variantes do LoveLetter se beneficiam de na instalação padrão do Windows 98 estar habilitado o "Windows Scripting Host" habilitado. Portanto, a melhor maneira de se proteger contra este tipo de ataque é desabilitá-lo:
- Clicar em "Painel de Controle / Adicionar e Remover Programas / Instalação do Windows"
- Clicar duplo em "Acessórios" (ou um clique em "Detalhes").
- Rolar a lista até aparecer "Windows Scripting Host"
- Desmarcar essa opção
- Clicar em OK em todas as janelas e reiniciar o Windows.

6. Finalmente clicar em Iniciar/Desligar. Escolher "Reiniciar em modo MS-DOS" e clicar em OK.
    Depois que o computador reiniciar, a pasta que deve aparecer é C\: Se não for digite CD\
    Digite o comando   DEL WIN-BUGSFIX.EXE
    Pressionar conjuntamente CTR+ALT+DEL e deixar o Windows reiniciar, em modo NORMAL desta vez.

7. Recomenda-se também, criar filtros dentro do Outlook para ignorar e-mails com o título "subject" I LOVE YOU.

Cuidados especiais

Avise os seus amigos e as pessoas para quem mandou mensagens.
Avise sobre o Iloveyou e, por exemplo, indique-lhes essa hp pra que elas aprendam a se livrar dele.

Medidas gerais de prevenção

Há um conjunto de procedimentos gerais de prevenção contra vírus e outros programas maliciosos que sempre devem ser realizados (em qualquer computador, especialmente nos conectados à Internet).

Essas medidas podem ser resumidas assim:

1. Jamais executar um programa ou abrir um arquivo sem antes executar o antivírus sobre a pasta que o contenha.

2. Atualizar o seu antivírus constantemente (todas as semanas e até diariamente as empresas distribuem cópias gratuitas dos arquivos que atualizam a lista dos novos vírus e vacinas).

3. Desativar a opção de executar documentos diretamente do programa de correio eletrônico.

4. Jamais executar programas que não tenham sido obtidos de fontes absolutamente confiáveis.

Leia mais sobre esse assunto, clicando aqui.

Onde obter mais informações

http://www.superdicas.com/virusalerta/bibtec/v_loveletter.htm

http://www.trendmicro.com.br/vinfo/loveletter.htm

http://www.abknet.de/virus.htm

http://www.icsa.net/

http://www.antivirus.com/

http://www.abknet.de/mstream.htm

http:/www.avp.com

http://www.digitalriver.com/symantec

http://www.nai.com.br

http://www.cai.com

http://idg.uol.com.br/pcw/update/0645.html

http://www.pandasoftware.com

Este "site", destinado prioritariamente aos alunos de Fátima Conti,
pretende auxiliar quem esteja começando a se interessar por internet,
segue as regras da FDL (Free Documentation Licence),
computadores e programas, estando em permanente construção.
Sugestões e comentários são bem vindos.
Se desejar colaborar, clique aqui.
Agradeço antecipadamente.

Deseja enviar essa página?

Se você usa um programa de correio eletrônico devidamente configurado e tem
um e-mail pop3, clique em "Enviar página" (abaixo) para abrir o programa.
Preencha o endereço do destinatário da mensagem.
E pode acrescentar o que quiser.
(Se não der certo, clique aqui para saber mais).

Enviar página

Se você usa webmail copie o endereço abaixo

http://www.cultura.ufpa.br/dicas/vir/vir-love.htm

Acesse a página do seu provedor. Abra uma nova mensagem.
Cole o endereço no campo de texto.
Preencha o endereço do destinatário.
E também pode acrescentar o que quiser.

Última alteração: 20 fev 2007

a.	Clique em Iniciar / Executar
b.	Digitar REGEDIT e teclar Enter.
c.	No painel da esquerda, clique no sinal "+" à esquerda da pasta HKEY_LOCAL_MACHINE
d.	depois clique no sinal "+" à esquerda da pasta Software
e.	depois clique no sinal "+" à esquerda da pasta Windows
f.	depois clique no sinal "+" à esquerda da pasta Current Version
g.	e, depois, clique duas vezes na pasta Run, dentro da pasta Current Version.
h.	No painel do lado direito, procure pelas chaves de registro (documentos identificados pelo ícone com as letras ab) que contém (listados sob a coluna "Dados") ":\Windows\System\MSKernel32.vbs" e "\WIN-BUGSFIX.exe".
i.	Clique sobre estas chaves para selecioná-las na janela da direita.
j.	Clique em DELETE. Responda SIM para apagar as chaves.
k.	Procure pela chave que contém o valor de dados ":\Windows\System\Win32DLL.vbs". Ela deve estar na pasta Run Services, no lado esquerdo da tela do Editor de Registro. Do mesmo modo apague essa chave.
l.	Sair do Editor do Registro.

a.	Procurar e deletar, em todos os seus discos não removíveis (HD e discos de rede), os arquivos "LOVE-LETTER-FOR-YOU.TXT" e "LOVE-LETTER-FOR-YOU.HTM".
b.	Verificar se algum dos seguintes arquivos de mIRC está em seu computador: mirc32.exe, mlink32.exe, mirc.ini, script.ini or mirc.hlp Se algum estiver, o vírus deve ter criado um arquivo script.ini dentro da pasta destes arquivos. Deletar todos os arquivos script.ini relacionados ao mIRC.
c.	Busque e delete todas as ocorrências dos arquivos abaixo - para evitar nova reinfecção do seu sistema: C:\ WINDOWS \ SYSTEM \ MSKERNEL32.VBS e assemelhados C:\ WINDOWS \ WIN32DLL.VBS e assemelhados C:\ WINDOWS \ SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS e assemelhados
d.	Busque e delete todos os arquivos que tenham a extensão dupla citada anteriormente (VBS, VBE, JS, JSE, CSS, WSH, SCT, JPG, JPEG, MP3 ou MP2) e também aqueles que tenham o mesmo nome de outros arquivos seus, porém com a extensão trocada para VBS - para evitar nova reinfecção do sistema.
e.	As variantes do LoveLetter se beneficiam de na instalação padrão do Windows 98 estar habilitado o "Windows Scripting Host" habilitado. Portanto, a melhor maneira de se proteger contra este tipo de ataque é desabilitá-lo: - Clicar em "Painel de Controle / Adicionar e Remover Programas / Instalação do Windows" - Clicar duplo em "Acessórios" (ou um clique em "Detalhes"). - Rolar a lista até aparecer "Windows Scripting Host" - Desmarcar essa opção - Clicar em OK em todas as janelas e reiniciar o Windows.