Les 23 variantes d'I Love You

10 mai 2000 à 15h07
0
Alors que les auteurs présumés du Worm I Love You ont été relachés faute de preuve, I Love You continue ses ravages à travers le monde et ce n'est pas moins de 23 variantes qui circulent actuellement.
En voici les détails :

00044528-photo-tableau-iloveyou.jpg


Panda Software a rapporté d’autres variantes du ver VBS/LoveLetter. Quelques-unes des différences qui existent entre les toutes dernières et la version originale, résident dans : leurs noms, le message qu’elles véhiculent, les pages Web qu’elles connectent, les extensions fichiers qu’elles affectent et le fait qu’elles ne transportent pas de cheval de Troie (exception faite de VBS/LoveLetter.H).

Les utilisateurs qui désirent une protection véritablement efficace, peuvent télécharger la version mise à jour de Panda Antivirus à partir du site Web de l’entreprise : http://www.pandasoftware.com. La technologie novatrice incorporée dans les solutions Panda permet de neutraliser complètement toutes les formes mutantes de VBS/LoveLetter, à moins que cette dernière n’ai été développée de manière à ce que la totalité du programme soit altéré.

Les noms ci-dessous sont ceux de quelques-unes de ces nouvelles variantes, avec leurs différentes caractéristiques :

· VBS/LoveLetter.F
Différences :

1. Le courrier électronique dans lequel le virus est diffusé présente les caractéristiques suivantes :
Sujet : "Dangerous Virus Warning" (« Alerte à virus dangereux »)
Texte : "There ia a dangerous virus circulating. Please click attached picture to view it and learn to avoid it"
(« Il y a un dangereux virus en circulation. Cliquez sur l’image jointe pour le voir et apprenez comment l’éviter. »)

2. Le fichier attaché au courrier électronique qui le véhicule, s’appelle : VIRUS_WARNING.JPG.VBS.
Lorsqu’il est envoyé sur une chaîne IRC, le fichier envoyé se nomme : URGENT_VIRUS_WARNING.HTM.

3. Le virus essaie de se connecter aux URL suivantes :

HKCUSoftwareMicrosoftInternet ExplorerMainStart Page, avec l’URL : http://www.skycable.tucows.com/files2/setup24.exe
HKCUSoftwareMicrosoftInternet ExplorerMainStart Page, avec l’URL : http://www.skycable.tucows.com/files2/setup24.exe
HKCUSoftwareMicrosoftInternet ExplorerMainStart Page, avec l’URL : http://www.skycable.tucows.com/files2/setup24.exe
HKCUSoftwareMicrosoftInternet ExplorerMainStart Page, avec l’URL : http://www.skycable.tucows.com/files2/setup24.exe

Le ver n’essaie pas de télécharger de cheval de Troie à partir des adresses ci-dessus :

4. La variante affecte également les fichiers aux extensions suivantes : WAV, TXT, GIF, DOC, HTM, HTML & XLS

· VBS/LoveLetter.G
Différences :

1. Le message électronique dans lequel le virus est envoyé présente les caractéristiques suivantes :
De : support@symantec.com
Sujet : "Virus ALERT!!!" (Alerte au virus ! ! !)
Texte : "Symantec's AntiVirus Research Center began receiving reports regarding VBS.LoveLetter.A virus early morning on May 4, 2000 GMT.
(« Le Centre de Recherche Antivirus de Symantec a commencé à recevoir des rapports concernant le virus VBS.LoveLetter.A, à l’aube du 4 mai 2000 GMT. »)

Ce ver semble provenir de la région Asie Pacifique.
La distribution du virus est d’envergure et l’on rapporte que des centaines de milliers de machines ont été infectées.
VBS.LoveLetter.A est un ver Internet qui utilise Microsoft Outlook pour s’envoyer de manière autonome en tant que pièce jointe.
L’objet du courrier électronique indique : ILOVEYOU, et la pièce jointe s’appelle LOVE-LETTER-FOR-YOU.TXT.VBS. Une fois que la pièce jointe est ouverte, le virus se duplique et envoie un message électronique à toutes les adresses qui se trouvent dans le carnet d’adresse.
Le virus se diffuse également via un relais de discussion Internet et infecte les fichiers sur les pilotes locaux et distants, y compris les fichiers aux extensions vbs, vbe, js, sje, CSS, wsh, sct, hta, jpg, jpeg, mp3, mp2.

Les utilisateurs devraient être extrêmement prudents en ouvrant les e-mails qui ont cet objet, même si le message provient de quelqu’un qu’ils connaissent ; c’est exactement comme ça que le virus se répand.

Symantec Corp. a annoncé aujourd’hui la mise à disposition de la définition du virus, afin de pouvoir détecter, réparer et protéger les utilisateurs contre VBS.LoveLetter.A.

Cette définition est dès maintenant disponible via LiveUpdate de Symantec ; elle peut également être téléchargée à partir des sites Web suivants :
http://www.symantecstore.com/AF74211/promo/loveletter
http://www.digitalriver.com/symantec

Visual Basic Script est une autre solution d’urgence également offerte par Symantec Corp., afin de protéger votre PC contre ce ver. (Voir ci-joint.)

Remarque ! Lorsqu’il est exécuté, ce script protégera votre PC et lui évitera d’être INFECTE par le virus VBS.LoveLetter.A.
Pour « soigner » les PC déjà infectés, téléchargez les mises à jour de Norton Antivirus mentionnées ci-dessus.
Symantec Corporation – un leader mondial dans la technologie de sécurité Internet. »

2. Le fichier attaché au message e-mail dans lequel il est envoyé, s’appelle PROTECT.VBS. Lorsqu’il est envoyé via IRC, il s’appelle PROTECT.HTM

3. Les adresses Web avec lesquelles il essaie de se connecter sont :
HKCUSoftwareMicrosoftInternet ExplorerMainStart Page, avec l’URL : http://3doc.dailypussy.com/gallery/bunny.html
HKLMSoftwareMicrosoftInternet ExplorerMainStart Page, avec l’URL : http://3doc.dailypussy.com/gallery/bunny.html
HKLMSoftwareMicrosoftInternet ExplorerMainSearch Page, avec l’URL : http://astalavista.box.sk
HKLMSoftwareMicrosoftInternet ExplorerMainSearch Page, avec l’URL : http://astalavista.box.sk HKLMSoftwareMicrosoftInternet ExplorerMainDefaul_Page_URL, avec l’URL : http://www.persiankitty.com HKLMSoftwareMicrosoftInternet ExplorerMainLocal Page, lui assignant la valeur de PROTECT.HTM, qui se trouve être le fichier qu’il a copié dans le dossier Windows SYSTEM.

Le ver n’essaie pas de télécharger de cheval de Troie depuis les adresses ci-dessus :

4. La variante affecte également les fichiers dotés des extensions COM et BAT.


-VBS/LoveLetter.H
Différences : Au début de son code, les lignes commentaires ont été éliminées


Réalisé en collaboration avec Panda Software
Modifié le 18/09/2018 à 11h57
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

Vous pouvez désactiver la lecture automatique des trailers (ou des épisodes suivants) sur Netflix
The Witcher Monster Slayer : les préinscriptions ouvertes pour l'accès anticipé sur Android
ETR Awards : les meilleurs titres VR francophones vont être récompensés par les internautes
Twitch organise enfin son espace de discussion et permet de répondre par sujet
Mario Kart Tour dépasse la barre des 200 millions de dollars en 18 mois
Test Rocket Lake-S Core i7-11700K : il fait de l'ombre au Core i9, mais reste éclipsé par AMD
Outriders : People Can Fly détaille comment les inventaires disparus seront restaurés
Diablo Immortal : l'alpha fermée est disponible et permet d'incarner le Croisé
D.I.C.E. Awards 2021 : Hades a encore Persée à l'occasion d'une nouvelle cérémonie
Deepfakes : au-delà des memes, une technologie plus utile qu’il n’y paraît
Haut de page