Agence nationale
de la sécurité des
systèmes d'information
No CERTA-2000-ALE-007
| S . G . D . S . N Agence nationale de la sécurité des systèmes d'information |
|
Paris, le 9 juin 2000 No CERTA-2000-ALE-007 |
Affaire suivie par :
CERTA
Objet : Virus VBS/LoveLet-AS
| Conditions d'utilisation de ce document : | http://www.certa.ssi.gouv.fr/certa/apropos.html |
| Dernière version de ce document : | http://www.certa.ssi.gouv.fr/site/CERTA-2000-ALE-007 |
VBS/LoveLet-AS est un virus VBS de type Loveletter situé dans un pièce jointe et se propageant par le carnet d'adresses d'Outlook.
Message type de présentation du virus
Ce virus affiche, le 17 septembre, un message d'avertissement :
« Dedicated to my best brother =>Christiam Julian(C.J.G.S) Att », suivi de 5 lettres aléatoires et de « (M.H.M. Team ».
Il essaie de démonter les lecteur Z: à E:
Il essaie de télécharger les fichiers MACROMEDIA32.ZIP, LINUX321.ZIP et LINUX322.ZIP via Internet Explorer.
Ces fichiers ne sont pas des fichers compressés mais un fichier texte et deux fichiers d'images.
MACROMEDIA32.ZIP est copié dans le répertoire Windows, sous le nom important_note.txt et le met en mode RUN dans la base de registre.
Les deux autres fichiers sont également copiés dans le répertoire Windows sous les noms respectifs de logos.sys et logw.sys.
Le virus se duplique sous deux noms différents : LINUX32.VBS et reload.vbs et les rends exécutables au démarrage.
Il se duplique également dans le répertoire system avec un nom commençant par 5 à 8 caractère choisi au hazard suivi des extensions .GIF.VBS ou .JPG.VBS.
C'est ce fichier qui est envoyé à toutes les adresses du carnet d'adresses d'outlook.
Site Sophos
http://www.sophos.com