Ilyen még nem volt

2000. május 6. 07:29

"Ilyen még nem volt: egy nap alatt ennyi helyről még nem kaptunk értesítést fertőzésről, pedig kilenc éve ezt az ipart gyúrjuk" - írta a Pik-SYS Kft. vezetője, Pistár Mária. Ugyanez a helyzet a világ minden tájékán: a Ford autógyártól a Vodafone-AirTouchig, a brit alsóháztól a manhattani Merrill Lynch befektetési bankig a legkülönbözőbb világcégeknél, intézményeknél okozott milliós károkat a "szerelmes levél".

A vírus hivatalos neve a Pik-SYS közleménye szerint VBS/LoveLetter, s egy új Visual Basic-scriptvírusról van szó. A levelezőrendszer segítségével a Melissa vírushoz hasonlóan terjed. Azokat a gépeket fenyegeti, amelyeken a Windows Scripting Hostot telepítették; a Windows 95 és NT 4.0 csak akkor fertőződik meg, ha azon az Internet Explorer 5.0 fut. A vírus természetéből adódóan képes a levelezőrendszer teljes túlterhelésére és leállítására.

A vírus kicseréli az összes *.JPG, *.JPEG, *.MP3, *.MP2 fájlt önmagára úgy, hogy az eredeti fájlnév kiterjesztését kiegészíti .vbs-sel. Ugyancsak átírja a *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.HTA fájlokat önmagára, és ezekből is fertőzött *.VBS fájlok lesznek.

És még nincs vége. A vírus készít egy LOVE-LETTER-FOR-YOU.HTM fájlt, amelyet az IRC-csatornákon keresztül küld el, ha a mIRC-kliens installálva van a gépen.

Némi késleltetést követően a címjegyzék minden egyes címére elmegy az eredeti fertőző levél egy példánya. Kicseréli az IE nyitóoldalát, majd megpróbálja letölteni az internetről a WIN-BUGSFIX.EXE fájlt, amely minden tárolt jelszót elküld a MAILME@SUPER.NET.PH címre!

A Fülöp-szigeteki e-mail cím megerősíti a holland Symantec antivírus-kutatóintézet vezető szakértőjének, Eric Chiennek azt a véleményét, hogy a vírus Manilából indult útjára. Ő azt is megállapította, hogy a "Spyder" névre hallgató "szerző" utál iskolába járni. A feltehetően tinédzser iskolakerülő a "LOVELETTER" című levél fogadójának érzelmeit használja ki. Az ugyanis abban a hiszemben, hogy személyes üzenetről van szó, gondolkodás nélkül nyitja ki a levelet. (Így járt kiadónknál a Business Online ifjú főszerkesztője, de még az Internet Kalauz "Love Story" rovatának vezetője is.)

A vírus a legegyszerűbben úgy távolítható el a gépből, ha az üzenetet - annak megnyitása nélkül - shift-del billentyűkombinációval töröljük, de Pistár Mária a Pik-SYS-től elmondta, hogy a cég site-ján arra is van orvosság, ha nem tudtunk ellenállni a kísértésnek, és megnyitottuk a mellékletet. A gép fertőzöttségét a *.vbs fájlok megkeresésével is megállapíthatjuk, a vírusirtók segítenek a nagytakarításban is, de a képeinket, hangfájljainkat más forrásból kell újra pótolnunk.