Med slovenskimi uporabniki se je v pričel širiti črv LoveLetter (prvo poročilo smo prejeli 4. 5. 2000), ki je napisan je v VBScript jeziku. Če uporabljate za prebiranje in pošiljanje elektronske pošte Microsoft Outlook, se bo črv takoj po zagonu (samo če kliknete na pripono) razposlal na vse elektronske naslove, ki jih imate shranjene v adresarju (Address Book). Tako masovno razpošiljanje lahko včasih povzroči preobremenjenost poštnih strežnikov organizacij, kjer se je črv že razširil.
Črv lahko okuži MS Windows sisteme, ki imajo vklopljeno podporo za "Windows Scripting Host" (WSH).
Opis
Črv se lahko širi preko elektronske pošte, USENET konferenčnega sistema, preko skupnih Windows diskov (Windows Share), preko IRC pogovornega omrežja (preko odjemalca mIRC).
Poleg tega črv tudi namesti referenco na program, ki se je nahajal pri ponudniku SkyInet (ponudnik je program ze odstranil).
Elektronska pošta
Ko se črv zažene, poskuša poslati svoje kopije preko programa Microsoft Outlook na vse naslove, ki jih ima uporabnik navedene v svojem adresarju (Address Book). Sporočilo ima naslednje značilnosti:
- pripono z imenom "LOVE-LETTER-FOR-YOU.TXT.VBS"
- naslov ("Subject" oz. "Zadeva") "ILOVEYOU"
- vsebina sporočila je "kindly check the attached LOVELETTER coming from me."
Pošiljatelj pisma je v veliko primerih naslovniku znan, zato moramo biti pozorni pri zaganjanju kakršnihkoli programov, če prej nismo obveščeni o vsebini.
IRC (Internet Relay Chat)
Pri zagonu črv poskuša najti in spremeniti datoteko script.ini, ki jo uporablja popularni program mIRC. Sprememba povzroči avtomatsko pošiljanje črva (preko DCC) prisotnim na kanalu ob vključitvi "okuženega" uporabnika na ta kanal. Vsem uporabnikom svetujemo, naj izklopijo avtomatsko sprejemanje datoteko preko DCC.
Deljeni Windows diski (Windows Share)
Črv ob zagonu pregleda datotečni sistem in se skopira na mesto obstoječih datotek tipa
- .jpg (slike)
- .mp3 in .mp2 (zvočni in video zapisi)
- .vbs in .vbe (Windows Scripting datoteke)
- .jse, .js, .css, .wsh, .sct, .hta
Pri zagonu tako spremenjenih datotek se črv ponovno aktivira.
Ukrepanje
22. 5. 2000 je Microsoft objavil posodobitev za MS Outlook, ki preprečuje širjenje črva in oteži okužbo.
Če ste po elektronski pošti prejeli pismo, ki nosi naslov "ILOVEYOU" in pripono "LOVE-LETTER-FOR-YOU.TXT", sporočilo izbrišite.
Če ste črva že zagnali, potem ga lahko odstranite s programom "Disinfect". ZIP arhiv razpakirajte v novo mapo, nato pa zaženite disinfect.bat. V datoteko disinfect.log program zapisuje rezultate odstranjevanja.
Če uporabljate kakšnega od protivirusnih programov, posnemite najnovejšo nadgradnjo s spletnih strani proizvajalca in črva odstranite s protivirusnim programom.
Izklopite lahko tudi podporo za "Windows Scripting Host" (WSH), ki pa bo morda odstranila potrebno funkcionalnost kakšnega dela sistema ali specifičnega programa. Podporo za WSH odstranite preko nadzorne plošče (Control Panel), do katere pridete z izbiro Start->Settings->Control Panel. Izberite Add/Remove, nato pa Windows Setup, Accesories in kliknite na Details. Odstranite kljukico pri "Windows Scripting Host".
Samo za uporabnike ARNES klicnega dostopa: na strežniku mail.arnes.si smo 4.5.2000 ob 15:40 namestili filter, ki zavrača vso pošto, katere naslov je enak "ILOVEYOU". S tem smo vse uporabnike, ki prebirajo pošto za naslov oblike ime.priimek@guest.arnes.si zaščitili pred črvom. Možno pa je, da ste pošto s črvom pred tem časom že prejeli, vendar po naših podatkih ob času postavitve filtra črv med ARNES uporabniki še ni bil močno razširjen.
Zaključek
Vsem uporabnikom svetujemo, naj bodo izredno pazljivi pri obravnavi pripon ("attachment"), ki jih prejmejo preko elektronske pošte. Vse več je namreč virusov, trojanskih konjev (SI-CERT 98-01, 98-02, 99-02) in črvov (SI-CERT 99-01, 99-02, 99-03), ki se na ta način širijo preko interneta. Z zaganjanjem pripon omogočite programom, ki so tako priloženi, dostop do vseh podatkov in funkcij vašega računalnika.
Močno priporočamo tudi uporabo protivirusnih programov, ki imajo možnost dopolnjevanja spiska virusov, trojanskih konjev in črvov preko interneta.