Merci à Pierrot pour le fichier source de ce virus. Le programme était illisible et bien sûr non commenté. Il m'a fallut quelques heures pour le rendre lisible et clair. Il est même trop clair maintenant, et ne sera pas diffusé, pour ne pas faire de petits.
C'est le travail d'un amateur, ayant quelques connaissances en C, vu l'utilisation du sous-programme MAIN, inutile dans ce cas car il était situé juste après le CALL.
Si vous avez mis un temps limite d'exécution pour les scripts, ce n'est pas la peine, car il est annulé avant de commencer les différents traitements.
Le virus va s'inscrire sous divers noms : MSKernel32.vbs, Win32DLL.vbs et aussi LOVE-LETTER-FOR-YOU.TXT.vbs. Les deux premiers programmes sont inscrits dans le registre pour s'exécuter automatiquement à chaque démarrage de l'ordinateur.
Remplacement de la page de démarrage par un lien vers un programme WIN-BUGSFIX.exe se trouvant sur www.skyinet.net (sûrement un cheval de Troie). Une fois chargé, une autre activation du virus provoquera son inscription dans le registre pour son lancement automatique à chaque démarrage de l'ordinateur. La page de démarrage est remise à zéro en finale.
Une variante HTML du virus est fabriquée, plus sophistiquée que le reste du code, ce n'est sûrement pas la même personne qui l'a produite. C'est pour les utilisateurs d'IRC.
Ensuite c'est au tour d'OutLook de recevoir la visite du virus, qui va envoyer à tous les correspondants de tous les carnets d'adresses le même message, avec la même pièce jointe. Le message ne sera envoyé qu'une fois, le virus gardant trace des messages envoyés, dans le registre.
En dernier, le scan de tous les disques locaux et distants. Ce passage utilise une adaptation de l'exemple de la documentation "Visual Basic Scripting" de Microsoft, article "Drives property", pour scanner tous les disques, tous les répertoires et tous les fichiers.
Les fichiers VBS et VBE sont écrasés par le virus.
Les fichiers JS, JSE, CSS, WSH, SCT et HTA sont écrasés par le virus, copiés sous une extension VBS puis détruits. Vouloir les récupérer fera revenir le virus.
Les fichiers JPJ et JPEG sont écrasés par le virus, copiés avec une extension VBS en plus, puis détruits.
Les fichiers MP2 et MP3 sont cachés avec l'attribut HIDDEN, le virus est copié sous le même nom avec l'extension VBS en plus. Ne pas cliquer sur le fichier pour l'écouter !
Le fichier de paramètres du programme mIRC sont écrasés pour assurer la propagation du virus sur IRC.
C'est bien Internet Explorer et OutLook qui sont visés, car Netscape Communicator aurait pu être utilisé pour aller chercher le cheval de Troie, c'est aussi facile à faire. Les bonnes choses peuvent être détournées de leur utilisation prévue et servir une mauvaise cause, on connaissait déjà ça.
Ne plus avoir les extensions des fichiers était une bonne chose, mais il faut faire attention à l'icône pour ne pas confondre un fichier TXT avec un fichier VBS.
Si vous avez lancé Internet Explorer sans noter le téléchargement suspect, et lancé un programme infecté ensuite, c'est pas votre jour de chance. Un cheval de Troie c'est comme un logiciel de prise de contrôle à distance, mais vous ne savez pas par qui, et c'est sûrement pas pour vous rendre service.
Si vous n'avez pas remarqué l'activité importante du disque dur, il faut acheter des lunettes ;-)
Si vous pensez récupérer vos fichiers après le passage du virus, attention à ne pas le réactiver.
Ce virus a déjà 23 variantes, ne vous faites pas avoir une deuxième fois.