Internetem v současné době "řádí" nová varianta známéhoviru ILOVEYOU, který dokázal v loňském roce obletět celý svět během několikahodin. Tato mutace pochází podle všech dosavadních indícií z Itálie, vydáváse za pohlednici, za kterou se skrývá nežádoucí skript napsaný veVisualBasicu. Vir je na svých cestách od minulé středy, avšak jeho účinkynabývají značných rozměrů teprve v posledních dnech. A co je důležité,vypuštění tohoto viru bylo načasováno natolik nešťastně - nejspíš tobyl záměr - že přichází v době svátku všech zamilovaných - na den Sv.Valentýna!
Jak vlastně vypadá?
Italská verze viru ILOVEYOU přichází e-mailem úplně stejně jako původnívir. V předmětu pošty (políčko Subject) obsahuje italskou frázi "C´euna cartolina per te!", což v češtině znamená: "Tato pohledniceje pro Tebe!", v těle zprávy se poté nachází "Ciao, un tuo amicoti ha spedito una cartolina virtuale ... moooolto particolare!" - česky -Ahoj! Kamarád ti poslal virtuální pohlednici ... pozdrav je veeelmi zajímavý!Součástí takového mailu je ještě příloha nesoucí některý z následujícíchnázvů: LoveLetter.CD, VBS/ LoveLetter.CD, VBS.ILoveYou.CD nebo VBS/LoveLet-CD.
Co to umí?
Co se funkcí týče - dá-li se to tak nazvat, jsou prakticky stejné jako upůvodního viru ILOVEYOU. Ke svému životu virus potřebuje instalovanýWindows Scripting Host - ten je součástí operačních systémů Windows 2000a Windows 98, ale může být také nainstalován s Office 2000 nebo InternetExplorer 5.
Své kopie virus umístí do adresáře, ve kterém jsou nainstaloványWindows a do systémového adresáře Windows. V registru:
HKLMSoftwareMicrosoftWindowsCurrentVersion
poté nastaví položky
RunMSKernel32 RunServicesWin32DLL
tak, aby byly kopie viru spouštěny při každém startu počítače.
Dále se podívá na počet adres ve WAB (Windows Adress Book) a v adresářiMS Outlooku a rozešle se na všechny adresy z toho adresáře, kde je jich víc.
Kromě šíření elektronickou poštou umí VBS/Iloveyou zneužít i mIRC -vyrobí se ještě jeden soubor *.HTM a upraví SCRIPT.INI tak, aby byl tentosoubor rozesílán účastníkům kanálů na kterých někdo z infikovanéhoprostředí chatuje.
Aby si zajistil úspěšné přežití na vašem počítači, tak prozkoumáobsah všech vašich disků a soubory s příponami .vbs a .vbe přepíše sámsebou. Soubory s příponami .js, .jse, .css, .wsh, .sct a .hta smaže a místonich vytvoří svou kopii s původním jménem ale s příponou .vbs.
Podle chování viru lze dále soudit, že jeho autor má raději hudbu nežobrázky. VBS/Iloveyou totiž k existujícím souborům s příponami .jpg, .jpeg,.mp2 a .mp3 vytváří své kopie se stejným jménem a doplněnou příponou(například k bobr.jpg vytvoří bobr.jpg.vbs), ale hudební soubory pak nadisku nechá.
Tolik asi ve stručnosti k tomu, co se může stát. Jak jsem již napsal virpřichází v době, kdy cokoliv s názvem I Love You může znamenat dopis odVaší milé či milého, a proto pečlivě sledujte, jakou poštu a od kohootevíráte a nezapomínejte na to, že vir může přijít i od Vašeho známéhoči známé, aniž by o tom věděl!!!!! Buďte proto opatrní.
