Virus I Love You [Résolu/Fermé]

Signaler
Messages postés
491
Date d'inscription
mercredi 5 décembre 2007
Statut
Membre
Dernière intervention
22 décembre 2013
-
Messages postés
1
Date d'inscription
vendredi 9 avril 2010
Statut
Membre
Dernière intervention
9 avril 2010
-
Bonjour,

J'ai attrapé le virus I love you, qui transforme pleins de fichiers en .vbs

Je l'ai éradiqué, mais puis-je récupérer mes musiques et photos ?
Si oui, comment faire ?

Merci d'avance

2 réponses


Le 4 mai 2000, la prise de conscience est brutale, les médias font leurs gros titres de l'arrivée d'un nouveau virus, pernicieux qui porte un nom qui prête vraiment à confusion, "I love You".

Le virus "I love you" et ses congénères apparut plus récemment, ont provoqué une réaction forte et une prise de conscience des dégâts que peuvent causés ces petits programmes.

Ce fichier décrit le fonctionnement de ce virus et les méthodes de se protéger.

Cette analyse s'inspire d'un message posté sur fr.comp.securite dû à Jean-Claude Bellamy, qui a également placé sur son site un descriptif très intéressant du virus à voir sur : http://www.bellamyjc.net/

Le virus en question est un VBscript, un langage qui a été développé par Microsoft pour réaliser des macro-commandes sous Windows.

Ce nouveau virus est du type "worm", et se présente dans un Email sous la forme de pièce-jointe nommée "LOVE-LETTER-FOR-YOU.TXT.vbs". Puisque c'est un VBscript, qui a donc tous les risques possibles de s'exécuter sur une plate-forme Windows suffisamment récente.
En particulier Windows 98 et Windows 2000, sur lesquelles WSH - Windows
Script Host - est installé par défaut. Les postes sous Windows 95 et Windows NT4 sur lesquels on n'a pas installé WSH ne risquent rien.

Description du script

(NB: dans tout ce qui suit, est désigné par "\windows" le répertoire principal de Windows, et par "\windows\system" le répertoire système de Windows. C'est à adapter suivant la version - Win9x ou NT/W2k)

1)Préparation de l'exécution

Modification de la base de registre par mise à 0 de la variable :
HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting\Host\Settings\Timeout
NB: Cette variable permet de stopper tout script au bout d'un temps donné., 0 signifie "pas d'arrêt".

2)Recopie locale du virus

Le script se recopie en se renommant, dans les fichiers suivants :

\windows\Win32DLL.vbs
\windows\system\MSKernel32.vbs
\windows\system\LOVE-LETTER-FOR-YOU.TXT.vbs
3)Modification de la base de registre pour auto-relancement

Dans la clé :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Ajout de l'entrée "MSKernel32"
Valeur : "\Windows\system\MSKernel32.vbs"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
(NB: n'existe pas sous Windows NT et Windows 2000)
Ajout de l'entrée "Win32DLL"
Valeur : "\Windows\Win32DLL.vbs
Cela aura pour conséquence de relancer le script/virus à chaque démarrage de Windows

4)Préparation d'autres infections virales

Test d'existence du fichier "\windows\system\winFAT32.exe"
S'il n'existe pas : modification de la page d'accueil de Internet Explorer par modification de la clé :
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page

Cette page pointe alors sur un URL (que VOLONTAIREMENT je ne citerai pas intégralement ici) commençant par "http://www.skyinet.net" et se terminant par "WIN-BUGSFIX.exe"

Il y a 4 adresses possibles, choisies aléatoirement. Les pseudos sont : "~young1s", "~angelcat", "~koichi" et "~chu"

Cette page est donc destinée à télécharger ce programme "WIN-BUGSFIX"qui est un cheval de Troie, qui récupère tous les mots de passe du poste et les envoie par Email à MAILME@SUPER.NET.PH. Cette action est dangereuse sous Windows 9x à cause des fichiers .pwl, facilement craquables, inoffensif sous NT ou W2k car les mots de passe sont stockés et chiffrés autrement)

Ensuite, WIN-BUGSFIX se recopie dans WINDOWS\SYSTEM\WinFAT32.EXE et ajoute une entrée "WinFAT32" dans
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
avec pour valeur "WINDOWS\SYSTEM\WinFAT32.EXE"
Ainsi, ce cheval de Troie sera lancé à chaque démarrage de Windows.

5)Test d'existence du fichier "WIN-BUGSFIX.exe"

S'il existe :
5.1) modification de la base de registre :
Dans la clé :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Ajout de l'entrée : "WIN-BUGSFIX"
Valeur : "%downread%\WIN-BUGSFIX.exe"

5.2) remise à blanc de la page d'accueil de IE
(pour étouffer les soupçons)

6)Création d'un fichier HTML destiné aux correspondants IRC

Le nom de ce fichier est "\windows\system\LOVE-LETTER-FOR-YOU.HTM". Il est titré "LOVELETTER - HTML", et contient un script en VBScript, dont le but est la création d'un fichier "\Windows\system\MSKernel32.vbs" (identique au virus initial). Comme ce fichier HTML contient un VBScript, quand on l'ouvrira, normalement Internet Explorer doit ouvrir une boite de dialogue demandant si on veut exécuter ce composant ActiveX.

Afin d'inciter le "client" à le faire, le fichier HTML affiche ce texte :
"This HTML file need ActiveX Control
"To Enable to read this HTML file"
"Please press 'YES' button to Enable ActiveX"
Et un "marquee" (texte défilant avec "----z------z---") s'affiche indéfiniment.

7)Examen de la messagerie (outlook)

Lecture de la clé HKEY_CURRENT_USER\Software\Microsoft\WAB pour déterminer les carnets d'adresses.

Création d'un message envoyé à toutes les adresses
Sujet : "ILOVEYOU"
Corps : "kindly check the attached LOVELETTER coming from me."
PJ : le fichier "\windows\system\LOVE-LETTER-FOR-YOU.TXT.vbs" (le virus)

8)Infection de fichiers

Examen de tous les disques du PC locaux ET réseau.
Examen de tous les fichiers de chaque répertoire
Suivant les extensions de chaque fichier, l'infection va varier :

*.vbs, *.vbe
les contenus de ces fichiers sont remplacés par le virus
*.js, *.jse, *.css, *.wsh, *.sct, *.hta,
les contenus de ces fichiers sont remplacés par le virus
De plus, leur extensions sont remplacées par .vbs
*.jpg, *.jpeg
les contenus de ces fichiers sont remplacés par le virus
de plus, .vbs est ajouté à leurs extensions
*.mp3, *.mp2- un fichier contenant le virus est créé, le nom de ce fichier étant le nom du fichier inital suivi de ".vbs"
- le fichier original reçoit l'attribut "caché"
autres extensions :
il ne se passe rien SAUF pour les fichiers suivants :
mirc32.exe
mlink32.exe
mirc.ini
script.ini
mirc.hlp (Ces fichiers témoignent de l'utilisation de IRC)
Dans ce cas, le fichier "script.ini" est (ré)écrit, et contient un script qui envoie à tout correspondant IRC le fichier
\windows\system\LOVE-LETTER-FOR-YOU.HTM
Attitude préventive.

NE PAS OUVRIR CE FICHIER
ou alors, suivre ma méthode : l'enregistrer en supprimant son extension VBS
l'ouvrir AVEC un éditeur de texte
ajouter tout au début la ligne suivante :
quit
(ainsi il ne pourra pas être exécuté)
LE SUPPRIMER!!!

Attitude curative

Au niveau fichiers

Si on l'a exécuté, le MAL EST FAIT!
Si on n'a pas de sauvegarde, on peut dire adieu à tous les .vbs, .js, hta, ... et les JPEG sont atteints.
Quant aux mp3 (ou mp2), rien n'est perdu :
- supprimer tous les "xxxx.mp3.vbs"
- dans une fenêtre de commande, taper la commande
attrib -h *.* de façon à voir réapparaitre les mp3 cachés

Au niveau système

SUPPRIMER LES FICHIERS :

\windows\Win32DLL.vbs
\windows\system\MSKernel32.vbs
\windows\system\LOVE-LETTER-FOR-YOU.TXT.vbs

EDITER LA BASE DE REGISTRE
clés :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Supprimer les entrées :
MSKernel32
WIN-BUGSFIX
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
(sous Windows 9X seulement)
Supprimer l'entrée :
Win32DLL

RECONFIGURER INTERNET EXPLORER
Panneau de configuration Internet
Onglet "Général"
Effacer toute adresse suspecte dans la page de démarrage



Pour plus d'information :

Symantec :
https://www.broadcom.com/support/security-center
DrSolomon
http://www.drsolomon.com/home/vbslove.htm
Yahoo :
http://fr.news.yahoo.com/000504/32/d2fj.html
4
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
491
Date d'inscription
mercredi 5 décembre 2007
Statut
Membre
Dernière intervention
22 décembre 2013
48
Tes infos m'ont beaucoup aidé, merci, j'ai fait une recherche *.vbs sur mon disque dur et j'ai tout supprimé ;)
Messages postés
1
Date d'inscription
vendredi 9 avril 2010
Statut
Membre
Dernière intervention
9 avril 2010

juste par prévention comment ton pc a été contaminé par ce virus vieux de presque 10ans? c'est dingue que les concepteurs de pc ne peuvent pas faire en sorte de rendre inopérantes les attaques de virus identifiés depuis plus de 3ans g été surpri de constater qu'un autre internaute lui s'est fait contaminé il y a quelques jours par "Bagle" un virus qui existe depuis 6ans!!!