بررسی عملکرد کرم ILOVEYOU
کرم فوق ، در يک اسکريپت ويژوال بيسيک و بصورت فايلی ضميمه در يک نامه الکترونيکی عرضه می گردد .همزمان با بازنمودن فايل ضميمه توسط کاربران، زمينه فعال شدن کرم فوق، فراهم خواهد شد . عملکرد اين کرم ، بصورت زير است :
نسخه هائی از خود را در فولدر سيستم ويندوز با نام MSKernel32.vbs و LOVE-LETTER-FOR-YOU.vbs تکثير می نمايد.
نسخه ای از خود را در فولدر ويندوز و با نام Win32DLL.vbs تکثير می نمايد .
اقدام به تغيير مقادير دو کليد ريجستری زير می نمايد .کليدهای فوق، باعث فعال نمودن ( فراخوانی ) کرم ، پس از هر بار راه انداری سيستم می گردند .
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunService\Win32DLL
در ادامه، بررسی می گردد که آيا دايرکتوری سيستم شامل فايل WinFAT32.exe است؟ در صورت وجود فايل فوق( نشاندهنده ويندوز 95 و 98 )، صفحه آغاز برنامه مرورگر اينترنت( IE ) ، به فايل WIN-BUGFIX.exe بر روی سايت www.skyinet.net تبديل می گردد . فايل فوق از يکی از دايرکتوری های موجود در سايت فوق با نام angelcat , chu , koichi دريافت خواهد شد . پس از فعال شدن مرورگر اينترنت ( در زمان آتی ) ، صفحه آغاز ، آدرس فايل مورد نظر را از راه دور مشخص وبدين ترتيب فايل از سايت skyinet اخذ می گردد . کليد ريجستری صفحه آغاز، در آدرس زير قرار می گيرد .
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
ما قادر به دستيابی به www.skyinet.net ، بمنظور اخذ يک نسخه از فايل فوق نمی باشيم . با پيگيری انجام شده بر روی اينترنت مشخص شده است که برنامه فوق ، ممکن است آژانسی بمنظور جمع آوری رمزهای عبور و ارسال آنها به يک سايت مرکزی از طريق پست الکترونيکی باشد .
ILOVEYOU در ادامه بررسی می نمايد که آيا ماشين را آلوده کرده است؟ بدين منظور در دايرکتوری مربوط به اخذ فايل ها (Download directory) ، بدنبال فايل WIN-BUGFIX.exe می گردد . در صورتيکه فايل فوق پيدا گردد ، کدهای مخرب ، يک کليد RUN را بمنظور فراخوانی WIN-BUGFIX.exe از دايرکتوری مربوطه فعال می نمايند .نشانه گويای اين کليد ريجستری، بصورت زير است :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WINBUGFIX
ILOVEYOU در ادامه ، يک فايل با نام LOVE-LETTER-FOR-YOU.HTM در دايرکتوری سيستم ايجاد می نمايد .فايل Htm ، شامل منطق VBScript بوده که به نسخه مربوطه vbs ارتباط خواهد داشت .
کدهای مخرب در ادامه ، از طريق نامه الکترونيکی برای افراديکه در ليست دفترچه آدرس مربوط به کاربر می باشند،اشاعه و توزيع می شوند . برای هر شخص موجود در دفترچه آدرس، يک پيام الکترونيکی ايجاد و يک نسخه از فايل LOVE-LETTER-FOR-YOU.vbs قبل از ارسال به آن ضميمه می گردد. پس ازارسال پيام برای تمام افراد موجود در ليست دفترچه آدرس، ILOVEYOU برروی تمام درايوهای موجود در کامپيوتر ، عمليات خود را تکرار می نمايد . درصورتيکه درايو يک درايو شناخته شده ( نظير هارد و يا CDROM ) باشد ، در تمام زيرفهرست های موجود در درايو مربوطه ، عمليات جستجو برای يافتن فايل های با انشعاب vbs , vbe , sct , hta jpg , jpeg . انجام خواهد شد . تمامی فايل ها ی با انشعابات فوق، توسط کدهای مخرب بازنويسی و يک نسخه از کدهای مخرب در آنها قرار خواهد گرفت .
در صورتيکه فايلی از نوع mp2 و يا mp3 پيدا گردد، يک نسخه از کدهای مخرب در فايلی با انشعاب vbs ايجاد و در دايرکتوری مربوطه مستقر می گردد . نام فايل به نام دايرکتوری بستگی داشته و دارای انشعاب vbs است .
در صورتيکه ILOVEYOU فايلی با نام micr32.exe , mlink.exe mric.ini و يا mirc.hlp را پيدا نمايد، فرض را بر اين خواهد گذاشت که فهرست مربوطه ، يک دايرکتوری شروع IRC)Internet Relay Chat) است وفايلی با نام Script.ini را ايجاد و در محل مربوطه قرار خواهد داد . اسکريپت فوق، زمانيکه برنامه سرويس گيرنده IRC اجراء گردد، شروع به فعاليت نموده و اقدام به ارسال کدهای مخرب برای تمام کامپيوترهائی که با ميزبان آلوده يک ارتباط IRC ايجاد نموده اند ، خواهد کرد .