85. [04. maj 2000] Nesrećno zaljubljeni virus

Početkom maja jedan novi i opasni virus se veoma brzo širi svetom. Virus je najverovatnije napisan na Filipinima; najpre se širio na Dalekom Istoku, a juče su zabeležene desetine hiljada slučajeva napada napada u Norveškoj, Belgiji i, naročito, Velikoj Britaniji. Kod nas za sada nije primećen, ali je samo pitanje dana kada će nekoga zaraziti. Zato treba biti veoma oprezan.

Virus se širi elektronskom poštom, preko poruka uz koje je priključena datoteka "LOVE-LETTER-FOR-YOU.TXT.vbs". Subject ove poruke je obično ILOVEYOU a tekst je: kindly check the attached LOVELETTER coming from me, pri čemu (zavisno od konfiguracije sistema) ekstenzija .VBS ne mora biti vidljiva, pa ćete pomisliti da je uz poruku običan tekst. Ukoliko otvorite taj "bezopasni" attachment, a na vašem sistemu je aktivan Windows Scripting Host (aktivan je na praktično svim Windows / Office platformama), u nevolji ste. Virus se takođe širi i preko mIRC-a.

Virus se pokreće i šalje kopiju sebe svima čije su adrese navedene u vašem adresaru (njegov prethodnik, virus Melissa, slao je poruke samo na prvih pedesetak adresa). Zatim virus pokušava da preuzme program WIN-BUGSFIX.EXE sa Interneta i da ga pokrene, čime će vaš sistem biti zaražen i ovim opasnim trojancem koji "krade" lozinke. Virus zatim traži fajlove sa ekstenzijama VBS, VBE, JS, JSE, CSS, WSH, SCT i HTA na lokalnim i mrežnim diskovima, zamenjuje ih virusom i menja ekstenziju originalnog fajla u .VBS. Mogu stradati i JPG, JPEG, MP2 i MP3 fajlovi.

Ako se zarazite ovim virusom, treba uraditi sledeće:

1. Prekinuti vezu sa provajderom i, ako je računar u lokalnoj mreži, fizički ga odvojiti od mreže.

2. Obrisati fajl Win32DLL.vbs u Windows directory (npr. C:\WINDOWS il C:\WINNT)

3. Obrisati fajl MSKernel32.vbs u System direktorijumu (npr. C:\WINNT\SYSTEM32):

3. Obrisati fajlove LOVE-LETTER-FOR-YOU.TXT.vbs i LOVE-LETTER-FOR-YOU.HTM u System32 direktorijumu

4. Obrisati sledeće ključeve u registry bazi:

HLM\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32 i
HLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL

5. Restartovati računar.