Det er systemutvikler Peter Brodersen i World Online Denmark A/S som står bak løsningen på hvordan du fjerner viruset fra maskinen din.
Vi har fått tillatelse til å gjengi hans oppskrift.
Dette er ikke for nybegynnere, så få tak i noen som kan hjelpe deg dersom du ikke skjønner innholdet i oppskriften!
Før du begynner er det kanskje lurt å nappe ut nettverkskontakten på PCen din for å hindre ytterligere spredning…
Annonse
For å sjekke om din maskin er infisert, se etter filen Win32DLL.vbs i din Windows-katalog. Dette er som regel C:WINDOWS på Windows 95/98-maskiner, og C:WINNT på NT/2000. Eksisterer denne filen er ditt system infisert.
Skru også av Windows Scripting Host som muligens er aktiv på din maskin, så ikke denne står og lager ugagn i bakgrunnen. Denne heter som regel WSCRIPT.EXE, og du finner den på følgende måte:
Start Oppgavebehandlig. På Windows NT/2000 trykker du [CTRL][ALT][DEL] og velger “Oppgavebehandlig”. På Windows 9x trykker du bare [CTRL][ALT][DEL]. Se etter WSCRIPT.EXE, og avslutt denne oppgaven.
Her er Peter Brodersens “oppskrift”:
Informasjon omkring LoveLetter-script og oppryddingsinformasjon
Loveletter er et VisualBasic-script, som virker under Windows.
Beskrivelse
Scriptet begynner med å fjerne en evt. timeout-verdi for Visual Basic-scripts
HKEY_CURRENT_USERSoftwareMicrosoft
Windows Scripting HostSettingsTimeout
Scriptet oppretter en HTML-kopi av seg selv i System-katalogen med navnLOVE-LETTER-FOR-YOU.HTM
Scriptet kopierer seg selv til:
(systemkatalog)MSKernel32.vbs
(winkatalog)Win32DLL.vbs
(systemkatalog)LOVE-LETTER-FOR-YOU.TXT.vbs
Scriptet tilføyer følgende til registry-databasen:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunMSKernel32″,dirsystem&”MSKernel32.vbs
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunServicesWin32DLL”,dirwin&”Win32DLL.vbs
… som er henvisninger til filer som skal kjøres når maskinen starter – altså kjøres:
(systemkatalog)MSKernel32.vbs (som alm. program)
(winkatalog)Win32DLL.vbs (som service)
… ved oppstart.
Scriptet finner stien på MSIE sin default download-katalog. Hvis ingenting finnes, gjetter den på “C:”.Hvis man kjører Win98 (sjekkes ut fra om man har WinFAT32.exe liggende), setter dendin MSIE-startside til en tilfeldig ev fire forskjellige – de peker alle på filer, som ligger fire forskjellige steder på en webserver (www.skyinet.net). Filen heter”WIN-BUGSFIX.exe”, og når man starter MSIE med denne startsiden, vil man bli tilbudtå downloade denne filen.
(Ubekreftet: “WIN-BUGSFIX.exe” ligger ikke lengere på noen av de fire URL-ene)
Scriptet sjekker om det finnes en fil ved navn “WIN-BUGSFIX.exe” i download-katalogen.Gjør der det, setter den Windows til å starte denne filen ved oppstart:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunWIN-BUGSFIX”,downread&”WIN-BUGSFIX.exe
Videre setter den MSIE sin startside til “about:blank”.
Scriptet lager en oversikt over alle filer på alle stasjoner. Finner den en fil ved navn .vbs eller .vbe, tilføyer den seg selv til scriptet.
Finner den en fil ved navn .js, .css, .wsh, .sct eller .hta, finner den filnavnet og lager en ny fil fra dette.
Finner den f.eks. en fil ved navn “foobar.js”, lager den en fil ved navn “foobar.js.vbs”, som ogsåinneholder en kopi av seg selv. Den sletter deretter den opprinnelige filen – som betyr at en typiskWindows, som ikke viser etternavn/extension på filen, kun viser “foobar.js” for filen “foobar.js.vbs”.
Finner den en fil ved navn .jpg eller .jpeg, skjer det samme – altså slettes hovedfilen, og det lages en .vbs-fil. En fil med navn “foobar.jpg” vil altså også få en kopi ved navn “foobar.jpg.vbs”.
Finner den en fil ved navn .mp3 eller .mp2, lager den en kopi, f.eks “foobar.mp3” får en kopi; “foobar.mp3.vbs”.
Videre setter den .mp3/.mp2 til en skjult fil (setter flagget), så den ikke dukker opp i en default Windows filoversikt.
Hvis den finner mirc32.exe, mlink32.exe, mirc.ini, script.ini eller mirc.hlp (altså om IRC-programmetmIRC finnes på maskinen), tilføyer den kode til script.ini, som gjør at når man logger på en IRC-kanal,vil mIRC sende en HTML-kopi av sig selv til alle andre på en tilkoblet kanal.
Scriptet tilføyer notater til registreringsdatabasen HKEY_CURRENT_USERSoftwareMicrosoftWAB om hvem den har sendt til.
Mulig løsning til opprydding
Finn alle *.vbs og *.vbe-filer på maskinen (trykk evt. “F3” i Windows og søk etter “*.vbs, *.vbe” på alle stasjoner). På en typisk Windows-maskin er der ingen systemviktige .vbs- og .vbe-filer, og alle disse kan således slettes.
Finn filen “LOVE-LETTER-FOR-YOU.HTM”, som ligger i Windows sin systemkatalog, og slett den.
Åpne regedit. Finn følgende nøkler:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunMSKernel32 – slett denne
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunServicesWin32DLL – slett denne
Dersom WIN-BUGSFIX.exe har blitt lastet ned, vil følgende nøkler også eksistere, og skal slettes:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunWIN-BUGSFIX – slett denne
Merk at scriptet, når det er kjørt, har slettet filer av typen .js, .css, .wsh, .sct, .hta, .jpg og .jpeg.
Merk også, at filer av typen .mp3 og .mp2 *ikke* blir slettet, men har blitt markert som skjulte filer.Denne markeringen kan lettest fjernes på følgende måte:
- Gå inn på C-stasjonen, og velg Vis->Mappeinnstillinger.
- Under fanen “Vis” velger du “Vis alle filer”, under punktet “Skjulte filer”. Trykk OK.
- Trykk F3, så du starter en filsøking.
- Søk etter “*.mp2, *.mp3” (uten gåseøyne), og søk på alle stasjoner.
- Marker alle filene, og velg “Filer”, “Egenskaper”, og fjern markeringen i feltet “Skjult”.
Har du mIRC-programmet installert, anbefales det å avinstallere programmet – eller evt. manuelt gåinn i “scripts.ini”-filen og fjerne følgende fire linjer:
scriptini.WriteLine “n0=on 1:JOIN:#:{“
scriptini.WriteLine “n1= /if ( $nick == $me ) { halt }”
scriptini.WriteLine “n2= /.dcc send $nick “&dirsystem&”LOVE-LETTER-FOR-YOU.HTM”
scriptini.WriteLine “n3=}”
© Peter Brodersen, Systemudvikler
World Online Denmark A/S
Annonse
