Nous en savons maintenant plus sur le virus ILOVEYOU et sommes en mesure de vous aider à vous en débarasser si vous êtes infectés, ou de vous évitez de le contracter si vous ne l'êtes pas.
Le virus est un programme en VBScript, langage qui permet d'exécuter des commandes localement à partir de pages Web ou de courriels. Il se propage par le courrier comme élément attaché à un message dont le sujet est ILOVEYOU. Pour vous inciter à ouvrir l'attachement, la lettre contient la phrase suivante: "kindly check the attached LOVELETTER coming from me." N'ouvrez pas le message, ni la pièce jointe!
Si toutefois vous l'ouvrez, le virus s'exécute à l'aide du "Windows Scripting Host", une brillante invention de Microsoft, qui n'est habituellement installée sur un système que si Internet Explorer 5 est présent. Les systèmes sous Windows 98 ou 2000 ont déjà cette version d'installée, ils sont donc vulnérables dès le départ.
Ainsi, peu importe votre programme de courriel, si vous exécutez le virus depuis un ordinateur ayant le "Windows Script Host" d'installé, vous serez infectés. Cependant, seuls les utilisateurs d'Outlook pourront répandre le virus aux membres de leur bottin d'adresses.
En premier lieu, ILOVEYOU se copie lui-même aux endroits suivants:
C:\WINDOWS\SYSTEM\MSKERNEL32.VBS
C:\WINDOWS\WIN32DLL.VBS
C:\WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS
Il ajoute en plus des entrées dans les registres système pour permettre au virus de s'exécuter automatiquement au démarrage.
Ensuite, le virus remplace tous les fichiers aux extensions .jpg, .jpeg, .mp3 et .mp2 par une copie de lui-même en ajoutant l'extension .vbs. Par exemple, il remplace "photo.jpg" par "photo.jpg.vbs". De cette façon, si vous envoyez la photo à quelqu'un d'autre, il sera lui aussi infecté. Les fichiers originaux restent sur le système mais le virus les rend invisibles pour ne plus que vous soyez conscient de leur présence.
ILOVEYOU crée ensuite un fichier infecté appelé "love-letter-for-you.htm" qui est envoyé automatiquement dans les canaux IRC lorsque vous utilisez mIRC pour vous y connecter (le virus modifie le fichier de configuration SCRIPT.INI dans le répertoire de mIRC).
Quelques instants plus tard le virus fait parvenir une copie de lui-même à toutes les personnes présentes dans votre bottin d'adresses de courriel. Il remplace par la suite votre page de départ Internet pour qu'elle pointe vers un programme qui se charge de noter les mots de passe que vous entrez sur votre machine et de les envoyer à "mailme@super.net.ph". Des entrées sont faites dans les registres pour que ce programme s'exécute au démarrage.
La première chose à faire pour éradiquer le virus serait donc, dans le répertoire de Windows (C:\WINDOWS ou C:\WINNT), d'effacer les fichiers:
WIN32DLL.VBS
\SYSTEM\MSKERNEL32.VBS
\SYSTEM32\LOVE-LETTER-FOR-YOU.TXT.vbs
\SYSTEM32\LOVE-LETTER-FOR-YOU.HTM
Pour le reste, il est suggéré de vous en remettre à un informaticien compétent en la matière.
En attendant et pour ne pas propager le virus:
N'exécutez pas de fichier à l'extension .VBS
Ne restez pas branché à un réseau, que ce soit l'Internet ou un réseau local
Désactivez tout ce qui concerne le VBScript sur votre système
N'utilisez pas Outlook et songez à le remplacer par un programme de courriel plus sécuritaire
Installez un logiciel anti-virus comme McAfee ou Norton.
Texte rédigé par : Vincent Brousseau
Publié dans BRANCHEZ-VOUS! le 04 mai 2000
Vous voulez réagir à cette actualité? Faites-le
maintenant dans notre forum Internet
