Интернет – червь I LOVE YOU (LOVE LETTER FOR YOU). Принцип работы. Меры безопасности для защиты от заражения и предотвращения деструктивных действий — страница 5

  • Просмотров 3483
  • Скачиваний 269
  • Размер файла 48
    Кб

-         если расширения файлов .MP2; .MP3 – вирус создает файлы с такими же именами, но расширениями .VBS, а оригинальным файлам присваивает атрибут «Hidden». Алгоритм деструктивных действий очень прост и прозрачен. Автором для начинающих вирмейкеров оставлена возможность безудержно фантазировать и произвольно изменять (а также расширять по своему усмотрению) список расширений файлов, подвергающихся атаке.

Поэтому после атаки оригинального вируса в течении трех дней мировая сеть была наводнена его клонами. И клоны эти были уже направлены на файлы с расширениями .COM; .EXE; .DLL;.INI и т.д. Закончив свои деструктивные действия на компьютере пользователя, вирус предпринимает действия для дальнейшего распространения среди пользователей сети Internet. В первую очередь он ищет в системе программу mIRC32, осуществляющую связь с чат-серверами и при ее

наличии создает файл script.ini [12]. В теле скрипта пишется грозное предупреждение о том, что запрещается редактировать этот скрипт – это приведет к повреждению программы mIRC, а при поврежденной mIRC система не будет работать корректно. Таким образом автор пытается предотвратить попытки пользователя очистить скрипт от лишнего содержимого. В скрипт включается запись, которая осуществляет рассылку всем участникам чата копии вируса в

виде файла LOVE-LETTER-FOR-YOU.HTM [13]. Сам файл содержится в теле вируса. После попытки (удачной или неудачной) распространения своего тела среди участников чата, вирус предпринимает попытку распространения себя по электронной почте, используя при этом программу Microsoft Outlook Express [14]. Вначале вирус получает доступ к адресной книге приложения Outlook [15], а затем организует цикл перебора адресов для создания писем со своим телом [16]. Далее вирус

создает тело письма с адресом отправителя, темой и текстом [17], присоединяет к письму файл с телом вируса [18] и отправляет его адресату. Если в Outlook нет адресной книги или она пустая – письма не создаются. Закончив свои процедуры вирус завершает работу не оставляя при этом своей резидентной копии в памяти компьютера. ОСОБЕННОСТИ АЛГОРИТМА ВИРУСА, ВЫВОДЫ И НЕКОТОРЫЕ РЕКОМЕНДАЦИИ ПО БОРЬБЕ С ПОДОБНЫМИ ТИПАМИ ВИРУСОВ. Подробный

анализ алгоритма вируса позволяет сделать несколько выводов. Исследуемый вирус, его клоны и другие вирусы данного типа не являются чем-либо из ряда вон выходящим. В нем используются достаточно простой алгоритм и механизм проникновения в систему. Хотелось бы отметить и то, что процесс проникновения в систему не использует каких либо функций, позволяющих скрыть свое присутствие в системе. В чем же состоит опасность вируса?