Les 23 variantes d'I Love You

Panda Software
Publié le 10 mai 2000 à 15h07
Alors que les auteurs présumés du Worm I Love You ont été relachés faute de preuve, I Love You continue ses ravages à travers le monde et ce n'est pas moins de 23 variantes qui circulent actuellement.
En voici les détails :

00044528-photo-tableau-iloveyou.jpg


Panda Software a rapporté d’autres variantes du ver VBS/LoveLetter. Quelques-unes des différences qui existent entre les toutes dernières et la version originale, résident dans : leurs noms, le message qu’elles véhiculent, les pages Web qu’elles connectent, les extensions fichiers qu’elles affectent et le fait qu’elles ne transportent pas de cheval de Troie (exception faite de VBS/LoveLetter.H).

Les utilisateurs qui désirent une protection véritablement efficace, peuvent télécharger la version mise à jour de Panda Antivirus à partir du site Web de l’entreprise : http://www.pandasoftware.com. La technologie novatrice incorporée dans les solutions Panda permet de neutraliser complètement toutes les formes mutantes de VBS/LoveLetter, à moins que cette dernière n’ai été développée de manière à ce que la totalité du programme soit altéré.

Les noms ci-dessous sont ceux de quelques-unes de ces nouvelles variantes, avec leurs différentes caractéristiques :

· VBS/LoveLetter.F
Différences :

1. Le courrier électronique dans lequel le virus est diffusé présente les caractéristiques suivantes :
Sujet : "Dangerous Virus Warning" (« Alerte à virus dangereux »)
Texte : "There ia a dangerous virus circulating. Please click attached picture to view it and learn to avoid it"
(« Il y a un dangereux virus en circulation. Cliquez sur l’image jointe pour le voir et apprenez comment l’éviter. »)

2. Le fichier attaché au courrier électronique qui le véhicule, s’appelle : VIRUS_WARNING.JPG.VBS.
Lorsqu’il est envoyé sur une chaîne IRC, le fichier envoyé se nomme : URGENT_VIRUS_WARNING.HTM.

3. Le virus essaie de se connecter aux URL suivantes :

HKCUSoftwareMicrosoftInternet ExplorerMainStart Page, avec l’URL : http://www.skycable.tucows.com/files2/setup24.exe
HKCUSoftwareMicrosoftInternet ExplorerMainStart Page, avec l’URL : http://www.skycable.tucows.com/files2/setup24.exe
HKCUSoftwareMicrosoftInternet ExplorerMainStart Page, avec l’URL : http://www.skycable.tucows.com/files2/setup24.exe
HKCUSoftwareMicrosoftInternet ExplorerMainStart Page, avec l’URL : http://www.skycable.tucows.com/files2/setup24.exe

Le ver n’essaie pas de télécharger de cheval de Troie à partir des adresses ci-dessus :

4. La variante affecte également les fichiers aux extensions suivantes : WAV, TXT, GIF, DOC, HTM, HTML & XLS

· VBS/LoveLetter.G
Différences :

1. Le message électronique dans lequel le virus est envoyé présente les caractéristiques suivantes :
De : [email protected]
Sujet : "Virus ALERT!!!" (Alerte au virus ! ! !)
Texte : "Symantec's AntiVirus Research Center began receiving reports regarding VBS.LoveLetter.A virus early morning on May 4, 2000 GMT.
(« Le Centre de Recherche Antivirus de Symantec a commencé à recevoir des rapports concernant le virus VBS.LoveLetter.A, à l’aube du 4 mai 2000 GMT. »)

Ce ver semble provenir de la région Asie Pacifique.
La distribution du virus est d’envergure et l’on rapporte que des centaines de milliers de machines ont été infectées.
VBS.LoveLetter.A est un ver Internet qui utilise Microsoft Outlook pour s’envoyer de manière autonome en tant que pièce jointe.
L’objet du courrier électronique indique : ILOVEYOU, et la pièce jointe s’appelle LOVE-LETTER-FOR-YOU.TXT.VBS. Une fois que la pièce jointe est ouverte, le virus se duplique et envoie un message électronique à toutes les adresses qui se trouvent dans le carnet d’adresse.
Le virus se diffuse également via un relais de discussion Internet et infecte les fichiers sur les pilotes locaux et distants, y compris les fichiers aux extensions vbs, vbe, js, sje, CSS, wsh, sct, hta, jpg, jpeg, mp3, mp2.

Les utilisateurs devraient être extrêmement prudents en ouvrant les e-mails qui ont cet objet, même si le message provient de quelqu’un qu’ils connaissent ; c’est exactement comme ça que le virus se répand.

Symantec Corp. a annoncé aujourd’hui la mise à disposition de la définition du virus, afin de pouvoir détecter, réparer et protéger les utilisateurs contre VBS.LoveLetter.A.

Cette définition est dès maintenant disponible via LiveUpdate de Symantec ; elle peut également être téléchargée à partir des sites Web suivants :
http://www.symantecstore.com/AF74211/promo/loveletter
http://www.digitalriver.com/symantec

Visual Basic Script est une autre solution d’urgence également offerte par Symantec Corp., afin de protéger votre PC contre ce ver. (Voir ci-joint.)

Remarque ! Lorsqu’il est exécuté, ce script protégera votre PC et lui évitera d’être INFECTE par le virus VBS.LoveLetter.A.
Pour « soigner » les PC déjà infectés, téléchargez les mises à jour de Norton Antivirus mentionnées ci-dessus.
Symantec Corporation – un leader mondial dans la technologie de sécurité Internet. »

2. Le fichier attaché au message e-mail dans lequel il est envoyé, s’appelle PROTECT.VBS. Lorsqu’il est envoyé via IRC, il s’appelle PROTECT.HTM

3. Les adresses Web avec lesquelles il essaie de se connecter sont :
HKCUSoftwareMicrosoftInternet ExplorerMainStart Page, avec l’URL : http://3doc.dailypussy.com/gallery/bunny.html
HKLMSoftwareMicrosoftInternet ExplorerMainStart Page, avec l’URL : http://3doc.dailypussy.com/gallery/bunny.html
HKLMSoftwareMicrosoftInternet ExplorerMainSearch Page, avec l’URL : http://astalavista.box.sk
HKLMSoftwareMicrosoftInternet ExplorerMainSearch Page, avec l’URL : http://astalavista.box.sk HKLMSoftwareMicrosoftInternet ExplorerMainDefaul_Page_URL, avec l’URL : http://www.persiankitty.com HKLMSoftwareMicrosoftInternet ExplorerMainLocal Page, lui assignant la valeur de PROTECT.HTM, qui se trouve être le fichier qu’il a copié dans le dossier Windows SYSTEM.

Le ver n’essaie pas de télécharger de cheval de Troie depuis les adresses ci-dessus :

4. La variante affecte également les fichiers dotés des extensions COM et BAT.


-VBS/LoveLetter.H
Différences : Au début de son code, les lignes commentaires ont été éliminées


Réalisé en collaboration avec Panda Software
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles