LOVELETTR.BH — новый вариант «любовных писем»

LOVELETTR.BH — еще один вариант широко известного интернет-червя LOVELETTER, который также размножается через электронную почту подобно своему предшественнику. Однако новый вариант червя имеет ряд особенностей.

После запуска на выполнение LOVELETTR.BH создает 62 вхождения системного реестра, большинство из которых безопасно (типа замены зарегистрированного пользователя Windows на «a nice guy» или изменения заголовка окна Internet Explorer на «(c) by GhostDog !!!»). Однако некоторые из них являются деструктивными, например — отключение защиты в Internet Explorer, что делает инфицированный компьютер уязвимым для других вирусов, использующих лазейки в защите Internet Explorer.

После создания изменений в системном реестре, вирус пытается отправить по e-mail свои копии всем пользователям, перечисленным во всех адресных списках на инфицированном компьютере. Известно 16 разновидностей писем, посылаемых вирусом (присоединенный файл по имени «win.com.vbs», представляющий собой копию вирусного кода, — одинаков во всех вариантах писем):

Тема письма: Windows Update
Тело письма: See the attached File for more info about the update. Its an ANTI VIRUS TOOL. For FREE!!

Тема письма: Hy!!!!
Тело письма: I havent heard soo long nothing from you… write me something! Got a cute littel present as attached file for you!

Тема письма: Homepage = www.avp.ch
Тело письма: yeah a great A-Virus Homepage!! READ ATTACHMENT FOR A FREE GIFT AND AN FREE ANTI VIRUS CHECK!!!

Тема письма: Wutz up?
Тело письма: Whats going on @ your home? Tell me something new or read this cool attached file

Тема письма: VUE Testing Software
Тело письма: You miss our VUE Testing Software ??? Then see attached file for more info and an Free Anti Virus update

Тема письма: Virus News:
Тело письма: A new Virus is going around, See the attached File for more info and an Free Anti Virus update

Тема письма: Hy Babe!
Тело письма: Have you also seen this File allready? (Attachment) Its really funny.. try it and tell me whats happening.

Тема письма: DirectX 8
Тело письма: No joke.. see attached file .. its a nice prog from Microsoft. . DirectX 8 or something like that

Тема письма: Greets!
Тело письма: HY! … FILE —> CLICK!.. :-))))

Тема письма: Ups..?!
Тело письма: ?????? —> FILE —> CLICK! —> :-)))))

Тема письма: Forgott something to tell you..
Тело письма: Отсутствует

Тема письма: Отсутствует
Тело письма: Attached file, look at it .. its my newest Programm

Тема письма: HMM?!?!
Тело письма: HAPPY BIRTHSDAY!!! Look at the Programm I made for you.. its the attached file!

Тема письма: Lets have FUN!
Тело письма: If you want to see me naked look at the File whats attached ;O)

Тема письма: Anti Virus Info! READ!!
Тело письма: Отсутствует

Тема письма: Отсутствует
Тело письма: INTERNET-PROVIDER-PROBLEMS

После отправки писем вирус приступает к порче файлов, он перезаписывает свои кодом все файлы со следующими расширениями: Vbs, vbe, js, jse, css, wsh, sct, hta, jpg, jpeg, mp3, mp2, doc, xls, ppt, gif, zip, rar. Инфицированные файлы после этого уже не подлежат восстановлению.

На этом вирус не успокаивается и пытается создать свои многочисленные копии на рабочем столе Windows:

Winboot.vbs
Altavista.vbs
Sysconfig.vbs
Wincolor.vbs
yahoo.com.vbs
User.vbs
Colorchoice.vbs
Win.com.vbs
Userconfig.vbs

ПРИМЕЧАНИЕ.
В коде этого червя, обнаруженного Trend Micro, содержатся некоторые ошибки, что не всегда позволяет вирусу осуществить задуманное.