VBS.NewLove.A
SARC, conjuntamente com outros vendedores do anti-vírus,
mudou o nome
deste Worm de VBS.LoveLetter.FW.A a VBS.NewLove.A.
O VBS.NewLove.A é um Worm, e se espalha reenviando o próprio
para
todos endereços de e-mail que estiverem cadastrados no Outlook.
O nome
do acessório é escolhido aleatòria, mas terá sempre uma
extensão dos Vbs.
O encabeçamento sujeito começará com o " FW: " e
incluirá o nome do
acessório aleatòria escolhido (excluding a extensão dos VBS)
em cima de
cada infecção, o sem-fim introduz até 10 linhas novas de
comentários
aleatòria gerados a fim impedir a deteção.
O nome do arquivo anexado é aleatoriamente escolhido porém com
a
extensão .VBS no final. O assunto do e-mail estará da seguinte
forma: "FW:"
e irá incluir o nome do arquivo escolhido aleatoriamente (sem a
extensão
.VBS). A cada infecção, o vírus irá aumentar as linhas
comentadas de 10 em
10 a modo de dificultar a detecção.
Também conhecido como: VBS/Loveletter.ed, VBS/Loveletter.Gen
Categoria: Worm
Tamanho de infecção: Variável
Definições de Vírus: 05/18/2000
Danos:
Ações: Sobrescreve arquivos
Gatilho para Ação: .O anexo .VBS é automaticamente executado
E-Mails em Grande Quantidade: Ele mesmo é enviado para todos os
endereços de e-mail do Microsoft Outlook.
Modifica arquivos: Sobrescreve todos os arquivos do sistema que não
estão sendo usados no momento incluindo drives locais mapeados,
arquivos localizados no diretório raiz dos drives não serão
afetados.
Degrada a performance: Pode chegar a travar servidores de e-mail.
Causa instabilidade no sistema: Sobrescrevendo arquivos de
sistema
críticos.
Distribuição:
Assunto do e-mail: Variável, "FW: arquivo.ext" (Aonde
o arquivo.ext é
derivado da lista de arquivos recentes abertos pelo usuário)
Nome do anexo: Variável, "arquivo.ext.vbs" (Aonde o
arquivo.ext é
derivado da lista de arquivos recentes abertos pelo usuário)
Tamanho do anexo: Variável
Alvo de Infecção: Sobrescreve todos os arquivos que não estão
em
uso pelo sistema não se importando com extensão.
Drives compartilhados: Irá sobrescrever todos os arquivos que
estiverem em drives mapeados (com excessão dos arquivos que
estiverem na raiz desses drives)
Descrição Técnica:
A variante do virus polimórfico LoveLetter irá sobrescrever
TODOS os
arquivos que não estiverem atualmente em uso não se importando
por suas
extensões. Ele vem como uma mensagem de e-mail com o assunto
"FW:
ARQUIVO.EXT" e o anexo vem nomeado como "ARQUIVO.EXT.VBS"
(Aonde o ARQUIVO.EXT é derivado da lista de arquivos recentes
utilizados
pelo usuário infectado). Caso nenhum documento esteja na lista,
o nome é
aleatoriamente utilizado. Caso a mensagem já foi aleatoriamente
gerada por
algum sistema com Windows NT ou Windows 2000 o nome do arquivo
sera
então omitido do campo do assunto gerando então "FW: .EXT"
e o anexo
então se chamará ".EXT.VBS" (Novamente, a extensão
irá variar
dependendo da lista de arquivos recentes utilizados pelo usuário
infectado.)
Remoção:
O conteúdo de todos os arquivos que foram sobrescritos serão
substituídos
pelo código fonte do worm sendo assim, destruindo todo o conteúdo
original.
O worm irá também adicionar a extensão .VBS a cada um desses
arquivos.
Por exemplo o arquivo CALC.EXE irá se tornar CALC.EXE.VBS. Sendo
que o worm sobrescreve todos os tipos de arquivos independentes
de suas
extensões a apropriada remoção só pode ser feita restaurando
todos os
arquivos afetados através de um backup seguro.