7 Temmuz 2008 Pazartesi 13:21:55
  Ana Sayfa
  Haberler
  Finans
  Oyun
  Astroloji
  Mizah
  Sinema
  Sağlık
  Alışveriş
 
  Webmail
  Yeni Üye Kaydı
  Üye Bilgileri
  Hizmetlerimiz
  Teknik Destek
  Anket
  Bağlantı Programı
  Bağlantı Numaraları

Love Letter Virüsü

Etkilenen sistemler : Windows Komut dosyası sisteminin aktif olduğu windows sistemler.

  • 1. Tanım :

    • Bu virüs sisteminize birçok şekilde bulaşabilir. Elektronik posta, windows dosya paylaşımı, irc, ve muhtelemen de web sayfaları virusun bulaşma kaynaklarından bazıları. Virüsün çalışması halinde yapacağı işlemler, etki bölümünde anlatılmıiştır.

    Elektronik Posta

    Virüs çalıştığı zaman, kendi kopyasını Microsoft Outlook'u kullanarak adres defterindeki tüm kayıtlara göndermeye calışır. Yolladığı mailin şu gibi özellikleri vardır.

    • "LOVE-LETTER-FOR-YOU.TXT.VBS" seklinde bir ilavesi (attachment) olur.
    • Konusu (Subject) "ILOVEYOU" dur.
    • İçerikte "kindly check the attached LOVELETTER coming from me." bilgisi vardir.


    Elektronik posta ile bu oğeleri içeren mail alan kullanıcıların, göndereni dikkate almadan açmamaları tavsiye olunur.

    Internet Relay Chat (IRC)

    Virüs çalıştığı zaman popüler irc programı mirc'nin bulunduğu herhangi bir klasörde bir script.ini dosyasını hazırlamaya çalışacaktır. Böylelikle irc kanallarında bu dosyayı diğer kullanıcılara göndermeyi ve yayılmayı amaçlar.

    Windows Dosya Paylaşımı

    Virus çalıştığı zaman bazı dosyalara bulaşır ( etki bölümüne bakınınız.). Bu dosyaların paylaşıltığı ağ sistemleri üzerinden başka kullanıcılarca da çalıştırılması onlarada virüsün bulaşmasına sebep olur.

  • 2. Etki :

    • Dosyaları virüsün kopyası ile değiştirir.

    Virüs bulaştığı zaman aşağıda açıklandığı şekilde dosya tiplerine bakacak ve işlemler yapacaktır. Dosyalar sabit bir disk üstünde yada yazma izninin bulunduğu ağ sistemleri üstünde olabilir.
    • Uzantısı vbs yada vbe olan dosyaların üzerine kendini kopyalar.
    • Uzantısı js, jse, css, wsh, sct, yada hta olan dosyaların üzerine kendini kopyalayacak ve uzantısını vbs ye çevirecektir. X.css dosyası X.vbs halini alacak ve virüsün bir kopyası olacaktır.
    • Uzantısı jpg veya jpeg olan dosyaların üstüne virüs kendisini kopyalayacak ve uzantısını .vbs haline getirecektir. X.jpg dosyası virüs taşıyan X.vbs haline gelecektir.
    • Uzantısı .mp3 veya .mp2 olan dosyaların üstüne virüs kopyalanacak ve uzantısını .vbs haline getirecektir. Jpg lere yaptığı işlemlerin aynısını bu uzantılı dosyalarda da yapacaktır.

    Dosyaların üzerine yazıldığından verileri kurtarmak çok zor, çoğu zaman imkansız olacaktır.

    Internet Explorer başlangıç sayfasını değiştirir.

    <DIRSYSTEM>\WinFAT32.exe dosyası olmadığında Internet Explorer başlangıç sayfası rastgele seçilecek 4 URL den birisi yapılır. Bu 4 URL WIN-BUGSFIX.exe diye bir dosyayı gösterir. Bu dosyadada istenilmeyen kodların bulunması muhtemeldir. Virüs bu dosyanın varlığını indirilmiş dosyalar klasöründe kontrol eder ve bulunursa, program bilgisayarın yeniden başlatımından sonra ilk çalışacak dosyalar listemine eklenecektir.

    Bir kopyasını Microsoft Outlook aracılığı ile yollar.

    Tanım bölumünde anlatıldığı üzere, bir kopyasını Microsoft Outlook kullanarak adres defterindeki tüm mail adreslerine gönderir.

  • 3. Çözüm:

    • Antivirüs ürününüzü güncelleyin.

    Kullanıcıların antivirüs ürünlerini güncellemeleri önemlidir. Birçok antivirüs üreticisi şimdiden virüsle ilgili güncellemelerini çıkarmıştır. Üreticiler listesinden popüler antivirüs programlarının üretici web adreslerini bulabilirsiniz.

    Windows komut dosyası sistemini kaldırın.

    Virüs VBS kullanılarak yazıldığı için, Windows komut dosyası sistemine (windows scripting host) gerek duyar. Denetim masasından program ekle kaldıra, windows kur seçeneğinden donatılar bölümüne girdiğiniz takdirde (control panel, add,remove programs, windows setup, accessories) işaretli goreceğiniz windows komut dosyası sisteminin işaretini kaldırıp tamam la, cıkmanız halinde VBS sistemi aktifliğini kaybedecektir.

    IRC programlarındaki Auto-DCC ile otomatik dosya alımını iptal edin.

    IRC programı kullanıcıları auto-dcc ile otomatik dosya transferini kabul etme özelliklerini kapatmalıdır.

  • 4. Antivirüs üreticileri listesi:

    • Aladdin Knowledge Systems

    http://www.aks.com/home/csrt/valerts.asp

    Command Software Systems, Inc.

    http://www.command.co.uk/html/virus/love.html
    http://www.commandcom.com/virus/love.html

    Computer Associates

    http://www.ca.com/virusinfo/virusalert.htm

    F-Secure

    http://www.f-secure.com/download-purchase/updates.html

    Finjan Software, Ltd.

    http://www.finjan.com/attack_release_detail.cfm?attack_release_id=34

    McAfee / Network Associates

    http://vil.nai.com/villib/dispVirus.asp?virus_k=98617
    http://www.cert.org/advisories/CA-2000-04/nai.dat

    Proland Software

    http://www.pspl.com/virus_info/worms/loveletter.htm

    Sophos

    http://www.sophos.com/virusinfo/analyses/vbsloveleta.html
    http://www.sophos.com/virusinfo/analyses/trojloveleta.html

    Symantec

    http://www.symantec.com/avcenter/venc/data/vbs.loveletter.a.html

    Trend Micro

    http://www.antivirus.com/vinfo

    Geri Dön
    Şirket | Arama | Program Arşivi | Hizmetlerimiz | İş Olanakları | Reklam | Sıkça Sorulan Sorular | Ana Sayfa
    Copyright 2001 TR.NET Tel: (0312) 295 9000 Fax: (0312) 295 9090