Вирус "Я тебя люблю" мгновенно сожрал мой жесткий диск и антивирус не помог (((. Я не один такой "умный"?)))

I Love You

Согласно данным компании F-Secure, вирус, который распространяется через электронные почтовые сообщения, содержащие в поле "Тема" письма запись "I Love You" или "Love Letter", впервые появился 4 мая в Азии. Вероятным источником его происхождения являются Филиппины.

По мнению экспертов, вирус I Love You может принести много больше неприятностей, чем печально известная Melissa.

По мнению Мико Хиппонена (Mikko Hypponen), руководителя исследовательской группы F-Secure, за пять последних лет еще не было вируса, столь быстро и глобально распространявшегося бы по миру: "За четыре часа со времени первого тревожного сообщения из Норвегии, поступившего в 9 утра по Гринвичу, в F-Secure уже есть данные о вирусе из более 20 стран".

Вирус распространяется как присоединенный файл (аттачмент) к электронным почтовым сообщениям под именем "Love-Letter-For-You" и поражает пользователей популярной почтовой программы Microsoft Outlook. I Love You "отправляет себя" всем респондентам из адресной книги жертвы.

Согласно Хиппонену, наибольшей опасности подвержены издательства и средства массовой информации, включая радиостанции, журналы, рекламные агенства и, в частности, те из них, кто владеет большими архивами графических и музыкальных файлов: "Большие издательства, в которые сегодня проник вирус, полностью потеряли свои фотоархивы. Это связано с тем, что I Love You удаляет определенные типы файлов, и апгрейд антивирусной базы данных позволяет удалить вирус, но не может остановить уже начавшийся процесс его разрушительного действия. Если у вас нет резервной копии файлов вне зараженной машины, считайте, что вы все потеряли".

Уже есть информация, что почтовые сообщения с I Love You были получены в Пентагоне, Федеральном Резервном Банке, Министерстве обороны США; ФБР начало расследование причин и источников распространения вируса.

Что происходит

При первом запуске вируса он копирует себя в следующие директории:

WINDOWS\SYSTEM\MSKERNEL32.VBS
WINDOWS\WIN32DLL.VBS
WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS

и добавляет следующие регистрационные ключи:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\MSKernel32=WINDOWS\SYSTEM\MSKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices\Win32DLL=WINDOWS\Win32DLL.vbs

I Love You сканирует все диски, доступ к которым можно осуществить с данной машины, в поисках файлов *.JPG и *.JPEG. Найдя их, вирус копирует себя в файлы и добавляет расширение .VBS (т. е. файл 123.JPG становится 123.JPG.VBS). Кроме того, вирус записывает себя во все файлы *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.HTA и изменяет их расширения на .VBS. При нахождении файлов *.MP3 и *.MP2, I Love You заменяет код, добавляет свое расширение и делает файл невидимым.

После небольшой паузы вирус, используя Microsoft Outlook, отправляет себя всем респондентам из адресной книги программы, а также пытается загрузить и установить программу для кражи паролей WIN-BUGSFIX.EXE, которая должна, по замыслу, найти все скешированнные пароли и отправить их по адресу MAILME@SUPER.NET.PH . Для этого вирус заменяет домашнюю страницу браузера Microsoft Internet Explorer на адрес вебсайта, автоматически загружающего на машину троянца. Если это происходит, в Реестре появляется ключ

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\WIN-BUGSFIX,

который автоматически запустит программу для кражи паролей при включении ОС. При этом троянец копирует себя в

WINDOWS\SYSTEM\WinFAT32.EXE

и заменяет соответствующий ключ Реестра на

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\WinFAT32=WinFAT32.EXE.

Dr.Web, Kaspersky, Outpost, Avira - нормальные антивирусы. Пользуюсь Авирой, там ещё стоит фаерволл. Такого не было за 5 лет, всмысле вирусов на компе не было. Сорри за рекламу.

это самый опасный вирус в мире, не давно узнал, 3 минуты назад, домашка написать про него, он нанёс 10-15 миллиардов долларов мировой экономике, ему уже было 9 лет возраста когда он откавал твой комп

Рекомендации по удалению
Процедуры обнаружения этой версии червя были выпущены срочным обновлением баз данных «Антивируса Касперского» .

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать F8, затем выберать пункт Safe Mode в меню загрузки Windows).
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер) .
Удалить следующие файлы:
%System%\alsys.exe
%System%\wincom32.ini
%System%\wincom32.sys
Удалить записи в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent" = "%System%\alsys.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent" = "%System%\alsys.exe"

Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами

Странно, когда был комп на древней хрюше такого не было.