På rekordtid har Loveletter-virussen spredt sig over Internet til millioner af brugere. Men det er faktisk muligt at beskytte sig mod den nye virus og dens varianter med ganske få forholdsregler. Det vigtigste råd er naturligvis at være meget varsom med at åbne vedhæftede filer. Hvis man ikke kender afsenderen, eller filens endelse er .exe, .com eller - som i dette tilfælde - .vbs, så bør man under ingen omstændigheder åbne filen.
Det kan sammenlignes med, at man finder en diskette på gaden med et ukendt program - det er umuligt at vide, om programmet indeholder skadelig kode.
Hvad gør Loveletter?
Loveletter er et Visual Basic Script, der kun fungerer under styresystemet Windows. Den første version af virussen blev spredt i et e-mail med emnelinien "ILOVEYOU" og teksten "kindly check the attached LOVELETTER coming from me". E-mailen indeholder en vedhæftet fil med navnet LOVE-LETTER-FOR-YOU.vbs. Denne fil indeholder selve virussen og må ikke åbnes.
Loveletter spreder sig selv ved at generere et e-mail som ovenstående og sende det til alle personer i adressebogen i Outlook. Bemærk, at dette ikke fungerer med det meget udbredte program Outlook Express. Hvis du har Outlook Express, kan din pc stadig blive smittet, men virussen kan ikke videresende sig selv til den private adressebog. Den forsøger også at videresende e-mails til hele den offentlige adresseliste i Exchange.
Hvis en IRC (Internet Relay Chat) klient er installeret på systemet, vil virussen forsøge at sende sig selv videre med en HTML-fil over IRC-kanalerne.
Efter smitten kopierer virussen sig selv til flere underfoldere under forskellige navne. I Windows folderen hedder den Win32dll.vbs og i system-folderen skjuler virussen sig som MsKernel32.vbs og LOVE-LETTER-FOR-YOU.vbs.
Den ændrer start-siden i Internet Explorer (i registry: HKCUSoftwareMicrosoftInternet ExplorerMainStart Page") til at hente en exefil ("WIN-BUGSFIX.exe") fra en webserver i Filippinerne. Når filen er hentet vil den blive sat til at starte ved næste genstart af maskinen. Derefter vil startsiden blive nulstillet til about:blank.
Filer med følgende endelser bliver overskrevet med en kopi af virussen: JPG, JPEG, JS, JSE, WSH, MP2, MP3, CSS, HTA og SCT. Filen billed.jpg bliver f.eks. til billed.jpg.vbs. Filernes oprindelige indhold er slettet og kan ikke genskabes. Den eneste løsning er at slette alle inficerede filer.
Loveletter findes allerede i talrige varianter, der spredes i emails med emnelinier som "fwd: Joke", "Mother's Day Order Confirmation" og "Susitikim shi vakara kavos puodukui..." I alle tilfælde er der vedhæftet en fil med endelsen .vbs, som indeholder selve virussen.
Den seneste variant er maskeret som et mail fra Symantec med emnelinien "VIRUS ALERT!!" og en vedhæftet fil med navnet "protect.vbs". Denne virusform ødelægger foruden lyd- og billedfiler også .bat og .com filer, der kan betyde at pc’en ikke længere kan starte.
Den danske systemudvikler Peter Brodersen har skrevet en minutiøs guide til Loveletter på sin hjemmeside, hvor man kan læse mere om, hvordan virussen påvirker ofrets maskine.
Kur mod virus
Hvis man er blandt de mange, der allerede har fået deres maskine inficeret med Loveletter, så er der heldigvis hjælp at hente. Alle større antivirus-firmaer har allerede udsendt opdateringer til deres programmer, som gør dem i stand til at genkende og fjerne den nye virus. Nedenfor finder du links til Computer Associates, McAfee, Trend Micro, Symantec og F-Secure, der alle tilbyder antivirus-software som kan fjerne Loveletter.
Firmaet TrendMicro tilbyder også tjenesten HouseCall, hvor man kan få scannet sin pc via Nettet - altså uden at installere et virusprogram.
Microsoft har udviklet et nyt værktøj til systemadministratorer, ISSCAN, der finder og fjerner Loveletter fra Microsoft Exchange Server. Programmet kan downloades fra Microsofts hjemmeside, hvor man også kan hente opdateringer til Outlook 97, 98 og 2000, som gør det sværere at åbne vedhæftede filer.
Danske eHuset DDE tilbyder også en gratis cleaner til Loveletter på sin hjemmeside.
Links:
Computer Associates
www.ca.com
eHuset DDE
http://www.dde.dk/dde/iloveyou.htm
F-Secure
www.data-fellows.com
Housecall
housecall.antivirus.com
Microsoft ISSCAN
support.microsoft.com/support/exchange/love_letter.htm
Microsoft Technet Bulletin
www.microsoft.com/technet/security
McAfee
www.mcafee.com
Peter Brodersen
www.loveletter.trc.dk
Symantec
www.symantec.com
Trend Micro
www.trendmicro.com
