LoveLetter

La traduction de l'alerte du CERT-CC par Jean-Philippe Rey (Délégué informatique - École Centrale Paris)

Ce message est une traduction de l'avis CA-2000-04 du CERT Coordination Center en date du 4 mai 2000.
L'avis original en anglais peut être consulté sur le Web http://www.cert.org/advisories/CA-2000-04.html

Systèmes vulnérables

Ordinateurs fonctionnant sous Windows avec l'exécution de scripts activée.

Présentation

Le ver "Love Letter" est un programme malveillant, écrit en VBScript (scripts Visual Basic), et capable de se propager de plusieurs manières. Au 4 mai 2000 vers 20 heures, heure française, le centre de coordination des incidents informatiques (CERT Coordination Center) a reçu des rapports de plus de 250 sources lui permettant d'évaluer à plus de 300000 le nombre d'ordinateurs contaminés par le ver "Love Letter". De plus, plusieurs sites souffrent d'une dégradation considérable des performances de leur réseau due au trafic engendré par ce ver.

Description

Vous pouvez être infecté par le ver "Love Letter" de plusieurs façons, en particulier par courrier électronique, partage de fichiers Windows, IRC, lecture de forum électroniques et même en consultant certaines pages Web. Une fois que le ver a été exécuté sur votre ordinateur, il exécute les actions décrites dans la section "Impact".

• Propagation par courrier électronique
  Quand le ver s'exécute, il essaie de se propager en s'envoyant en copie, à l'aide de Microsoft Outlook, à tous les destinataires listés dans les carnets d'adresses. Le message électronique envoyé a les caractéristiques suivantes :
  • il contient un fichier attaché nommé "LOVE-LETTER-FOR-YOU.TXT.VBS"
  • son sujet est "ILOVEYOU"
  • le texte contient "kindly check the attached LOVELETTER coming from me."
  Les personnes qui reçoivent une copie du ver par courrier électronique connaissent vraisemblablement l'émetteur du message, puisque leur adresse figure dans son carnet d'adresse. D'une manière générale, même si l'émetteur du message vous est connu, il est déconseillé d'exécuter des programmes (y compris des programmes VBScripts) reçus par courrier électronique avant d'avoir obtenu la confirmation de l'origine du programme.

• Propagation par IRC (Internet Relay Chat)
  Quand le ver s'exécute, il essaie de créer un fichier nommé "script.ini" dans tous les répertoires qui contiennent certains fichiers utilisés par mIRC, le client IRC à la mode. Dès que la victime se connecte à un canal IRC, ce fichier script essaie d'envoyer, via DCC, une copie du ver aux personnes connectées sur le même canal. D'une manière générale, il est conseillé de désactiver la réception automatique de fichiers par DCC dans tous les clients IRC.

• Propagation par exécution de fichier sur des disques partagés
  Quand le ver s'exécute, il recherche certains fichiers et les remplace par une copie du ver (voir la section "Impact" pour plus de détail). L'exécution (à l'aide d'un double click par exemple) de ces fichiers modifiés va déclencher l'exécution du ver. Les fichiers modifiés par le ver peuvent également être lancés automatiquement, par exemple par un script de démarrage.

• Propagation par forum électronique
  Certains rapports indiquent que le ver est apparu dans certains forum électroniques. Les conseils précédents (désactivation de la réception automatique, vérification de l'origine des programmes) sont valables pour les utilisateurs des forum électroniques.

Impact

Lorsque le ver s'exécute, il effectue les étapes décrites ci-dessous.

• Remplacement de certains fichiers par des copies du ver
  Quand le ver s'exécute, il recherche certains fichiers et les modifie en fonction du type de fichier concerné. Pour les fichiers sur disque local ou disque réseau, le ver effectue l'opération suivante :
  • Si l'extension du fichier est vbs ou vbe, il le remplace par une copie de lui-même.
  • Si l'extension du fichier est js, jse, css, wsh, sct ou hta, il le remplace par une copie de lui-même et change l'extension en vbs. Par exemple un fichier nommé x.css sera remplacé par un fichier x.vbs contenant une copie du ver.
  • Si l'extension du fichier est jpg ou jpeg, il le remplace par une copie et lui-même et ajoute l'extension vbs. Ainsi un fichier nommé x.jpg sera remplacé par un fichier x.jpg.vbs contenant le ver.
  • Si l'extension du fichier est mp3 ou mp2, il crée une copie de lui-même dans un fichier de même nom avec l'extension vbs en plus, de manière similaire au cas des fichier jpg. Le fichier original est préservé, mais transformé en fichier caché.
  Puisque les fichiers initiaux sont remplacés par le ver et non pas simplement effacés, leur récupération est difficile et peut même être impossible.
  Les utilisateurs qui exécutent les fichiers modifiés lors de cette étape vont relancer le ver. Si ces fichiers sont sur un disque partagé par réseau, de nouveaux ordinateurs peuvent être contaminés.

• Création d'un script mIRC
  Pendant que le ver examine les fichiers comme décrit à l'étape précédente, s'il rencontre un fichier dont le nom est mirc32.exe, mlink32.exe, mirc.ini, script.ini ou mirc.hlp, il crée un fichier nommé script.ini dans le même répertoire. Ce fichier contient :

  [script]

  n0=on 1:JOIN:#:{
  n1= /if ( $nick == $me ) { halt }
  n2= /.dcc send $nick <DIRSYSTEM>\LOVE-LETTER-FOR-YOU.HTM n3=}

  où <DIRSYSTEM> dépend de la machine sur lequel le ver s'exécute. Si le fichier script.ini existe déjà, il n'est pas modifié.
  Ce programme semble être un script qui, dès que l'utilisateur se connecte à un canal IRC, envoie par DCC une copie du ver aux autres personnes connectées sur ce canal. Le fichier script.ini est créé une seule fois pour chaque répertoire examiné par le ver.

• Modification de la page de démarrage d'Internet Explorer
  Si le fichier <DIRSYSTEM>\WinFAT32.exe existe, le ver positionne la page de démarrage d'Internet Explorer sur une URL choisie au hasard parmi quatre. Ces URL pointent toutes sur un fichier appelé WIN-BUGSFIX.exe qui contient sûrement un programme malveillant. Le ver vérifie sur ce fichier existe dans le répertoire de téléchargement de Internet Explorer et si c'est le cas, l'ajoute à la liste des programme à lancer au redémarrage. La page de démarrage d'Internet Explorer est alors réinitialisée à "about:blank". Dès que l'effet de l'exécution du programme WIN-BUGSFIX.exe sera connu, un complément d'information sera diffusé.

• Diffusion de copies par courrier électronique
  Le ver essaie d'utiliser Microsoft Outlook pour envoyer des copies de lui-même à toutes les adresses contenues dans tous les carnets d'adresse définis dans la configuration d'Outlook.

• Modification de la base de registre
  En plus de ses autres actions, le ver modifie les entrées suivantes de la base de registre :

  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
  HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL
  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX
  HKCU\Software\Microsoft\Windows Scripting Host\Settings\Timeout
  HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
  HKCU\Software\Microsoft\WAB\*

Traitement

• Mettre à jour votre antivirus
  Il est important que les utilisateurs tiennent à jour leur logiciel antivirus.

• Désactiver l'exécution de scripts de Windows
  Puisque le ver est écrit en VBS, il nécessite l'exécution de scripts pour s'exécuter. Désactiver cet utilitaire empêche le ver de s'exécuter. Pour désactiver l'exécution de script :
  • dans le menu Démarrer, choisir Paramètres/Panneau de configuration
  • lancer Ajout/Suppression de programmes
  • choisir l'onglet Installation de Windows et double cliquer sur la ligne Accessoires
  • décocher Exécution de scripts
  Cependant cette solution peut désactiver des fonctions souhaitées par l'utilisateur. Choisissez donc cette solution avec précaution.

• Désactiver l'Active scripting dans Internet Explorer
  Pour cela :
  • dans Internet Explorer ouvrir les Préférences (suivant les versions appelé également Options ou Options Internet)
  • choisir l'onglet Sécurité
  • cliquer sur Personnalisé puis sur le bouton Paramètres
  • dans la section Script, choisir désactiver Active scripting
  Cependant cette solution peut désactiver des fonctions souhaitées par l'utilisateur. Choisissez donc cette solution avec précaution.

• Désactiver la réception automatique par DCC dans les clients IRC
  Les utilisateurs d'IRC (Internet Relay Chat) devraient désactiver la réception automatique de fichiers envoyés par DCC.

• Filtrer les virus dans les messages électroniques
  Les administrateurs de serveurs de courrier électronique peuvent mettre en place des filtres pour effacer les messages avec des sujets identifiant le ver. Pour les sites unix, voici des méthodes possibles.

  Pour sendmail (http://www.sendmail.com/loveletter/), la règle suivante efface tous les messages dont le sujet est ILOVEYOU :

  HSubject: $>$Check_Subject
  D{MPat}ILOVEYOU
  D{MMsg}This message may contain the ILOVEYOU virus

  SCheck_Subject
  R${MPat} $*[tab]$#error $: 553 ${MMsg}
  RRe: ${MPat} $*[tab]$#error $: 553 ${MMsg}

  Pour PostFix, ajouter la ligne suivante dans /etc/postfix/header_checks:
  /^Subject: ILOVEYOU/ REJECT

  La règle procmail suivante détruit tous les messages dont le sujet contient ILOVEYOU :

  :0 D
  * ^Subject:[[tab] ]+ILOVEYOU
  /dev/null

  Dans tous ces exemples [tab] représente un caractère de tabulation horizontale.

  Il est important de noter que les trois méthodes décrites ci-dessus n'empêchent pas le ver de se propager si le sujet du message a été modifié. Les administrateurs de courrier électronique peuvent utiliser des règles procmail plus compliquées pour bloquer le ver en fonction du contenu du message. Cependant ces méthodes demandent plus de temps de calcul sur les serveurs de courrier électronique et peuvent ne pas être applicables en pratique sur les serveurs gérant un gros volume de courrier.

• Soyez prudent en ouvrant des fichiers attachés
  Les utilisateurs doivent être méfiants vis à vis des fichiers attachés à un message électronique. Ils devraient désactiver l'ouverture et la visualisation automatique des fichiers attachés dans leur lecteur de mél. Les utilisateurs ne devraient jamais ouvrir des fichiers attachés d'origine incertaine ou d'apparence suspecte.

Annexe A. Information des éditeurs d'anti-virus

• Aladdin Knowledge Systems http://www.aks.com/home/csrt/valerts.asp
• Command Software Systems, Inc.
  • http://www.command.co.uk/html/virus/love.html
  • http://www.commandsoftware.com/virus/love.html
• Computer Associates http://www.ca.com/virusinfo/virusalert.htm
• F-Secure http://www.f-secure.com/download-purchase/updates.html
• Finjan Software, Ltd. http://www.finjan.com/attack_release_detail.cfm?attack_release_id=34
• McAfee / Network Associates
  • http://vil.nai.com/villib/dispVirus.asp?virus_k=98617
  • http://www.cert.org/advisories/CA-2000-04/nai.dat
• Proland Software http://www.pspl.com/virus_info/worms/loveletter.htm
• Sophos
  • http://www.sophos.com/virusinfo/analyses/vbsloveleta.html
  • http://www.sophos.com/virusinfo/analyses/trojloveleta.html
• Symantec http://www.symantec.com/avcenter/venc/data/vbs.loveletter.a.html
• Trend Micro http://www.trendmicro.com/vinfo/

Pour une description complète des variantes (29 à ce jour...) voir http://www.symantec.com/avcenter/venc/data/vbs.loveletter.a.html