Information omkring LoveLetter-script og oprydnings-information
Loveletter er et VisualBasic-script, der vil virke under Windows.

Beskrivelse:

Scriptet begynder med at fjerne en evt. timeout-værdi for Visual Basic-scripts
HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout

Scriptet opretter en HTML-kopi af sig selv i System-kataloget ved navn
LOVE-LETTER-FOR-YOU.HTM

Scriptet kopierer sig selv til:
 (systemkatalog)\MSKernel32.vbs
 (winkatalog)\Win32DLL.vbs
 (systemkatalog)\LOVE-LETTER-FOR-YOU.TXT.vbs

Scriptet tilføjer følgende til registreringsdatasen:
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32",dirsystem&"\MSKernel32.vbs
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL",dirwin&"\Win32DLL.vbs
... hvilket er henvisninger til filer, der skal køres, når computeren starter op - altså køres:
 (systemkatalog)\MSKernel32.vbs   (som alm. program)
 (winkatalog)\Win32DLL.vbs        (som service)
... ved opstart.

Scriptet finder stien på MSIE's default download-katalog. Hvis intet findes, gætter den på "C:\".
Hvis man kører Win98 (checkes ud fra om man har WinFAT32.exe liggende), sætter den
ens MSIE-startside til en tilfældig af fire forskellige - de peger alle på filer, der
ligger de fire forskellige steder på en webserver (www.skyinet.net). Filen hedder
"WIN-BUGSFIX.exe", og når man starter MSIE op med denne startside, vil man blive tilbudt
at downloade denne fil.
(ubekræftet: "WIN-BUGSFIX.exe" ligger ikke længere på nogen af de fire URL's)

Scriptet checker om der findes en fil ved navn "WIN-BUGSFIX.exe" i download-kataloget.
Gør der dette, sætter den Windows til at starte denne fil op ved opstart:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX",downread&"\WIN-BUGSFIX.exe
Derudover sætter den MSIE's startside til "about:blank".


Scriptet laver en oversigt over alle filer på alle drev:

Finder den en fil ved navn .vbs eller .vbe, overskriver den filen med sig selv.

Finder den en fil ved navn .js, .css, .wsh, .sct eller .hta, finder den filnavnet og laver en ny fil herudfra
- finder den således en fil ved navn "foobar.js", laver den en fil ved navn "foobar.js.vbs", der også
indeholder en kopi af sig selv. Den SLETTER derefter den oprindelige fil - hvilket betyder, at en typisk
Windows, der ikke viser efternavn/extension på filen, blot viser "foobar.js" for filen "foobar.js.vbs".

Finder den en fil ved navn .jpg eller .jpeg, laver den samme trick - altså sletter hovedfilen, og laver
en .vbs-fil - en fil ved navn "foobar.jpg" vil altså også få en kopi ved navn "foobar.jpg.vbs".

Finder den en fil ved navn .mp3 eller .mp2, laver den en kopi, fx "foobar.mp3" får en kopi; "foobar.mp3.vbs".
Derudover sætter den .mp3/.mp2 til en skjult fil (sætter flaget), så den ikke dukker op i en default Windows-
filoversigt.

Hvis den finder mirc32.exe, mlink32.exe, mirc.ini, script.ini eller mirc.hlp (altså om IRC-programmet
mIRC findes på maskinen), tilføjer kode til script.ini, der gør at når man logger på en IRC-kanal,
vil mIRC sende en HTML-kopi af sig selv til alle andre på en joinede kanal.

Scriptet tilføjer noter til registreringsdatabasen omkring HKEY_CURRENT_USER\Software\Microsoft\WAB\ om hvem,
den har sendt til.

Løsning til oprydning:


Mulig løsning:

Find alle *.vbs og *.vbe-filer på maskinen (tryk evt "F3" i Windows og søg efter "*.vbs, *.vbe" på alle drev). På en
typisk Windows-maskine er der ingen systemvigtige .vbs- og .vbe-filer, og alle af disse kan således slettes. Har man
en anden konfiguration, kan man bide mærke i at alle de .vbs-filer med LOVE-LETTER-scriptet i, der ligger på ens
computer, vil alle være oprette på samme dato - den dato, man kørte scriptet. De vil tillige allesammen have den
samme størrelse, og på den måde være lettere at identificere.

Find filen "LOVE-LETTER-FOR-YOU.HTM", som ligger i Windows' systemkatalog, og slet den.

Åbn regedit. Find følgende nøgler:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32 - slet denne
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL - slet denne
Såfremt, WIN-BUGSFIX.exe er blevet downloadet, vil følgende nøgle også eksistere, og skal slettes:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX - slet denne

Bemærk, at scriptet, når det er kørt, har slettet filer af typen .js, .css, .wsh, .sct, .hta, .jpg og .jpeg

Bemærk også, at filer af typen .mp3 og .mp2 *ikke* bliver slettet, men er blevet markeret som skjulte filer.
Denne markering kan lettest fjernes på følgende måde:

Gå ind på C-drevet, og vælg Vis->Mappeindstillinger. Under fanebladet "Vis" vælger du "Vis alle
filer", under punktet "Skjulte filer". Tryk OK.
Tryk F3, så du starter en filsøgning.
Søg efter "*.mp2, *.mp3" (uden gåseøjne), og søg på alle drev.
Markér alle filerne, og vælg "Filer", "Egenskaber", og fjern markeringen i feltet "Skjult".


Har du mIRC-programmet installeret, anbefales det at afinstallere programmet - eller evt. manuelt gå
ind i "script.ini"-filen og fjerne følgende fire linjer:

n0=on 1:JOIN:#:{
n1=  /if ( $nick == $me ) { halt }
n2=  /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM
n3=}



- Peter Brodersen, Systemudvikler