愛蟲病毒

愛蟲病毒

2000年5月4日,一種名為“我愛你”的電腦病毒開始在全球各地迅速傳播。這個病毒是通過MicrosoftOutook電子郵件系統傳播的,郵件的主題為“ILOVEYOU”,並包含一個附屬檔案。一旦在MicrosoftOutlook里打開這個郵件,系統就會自動複製並向地址簿中的所有郵件電址傳送這個病毒。

背景資料

愛蟲病毒愛蟲病毒界面
“我愛你”病毒,又稱“愛蟲”病毒,是一種蠕蟲病毒,它與1999年的梅麗莎病毒非常相似。據稱,這個病毒可以改寫本地及網路硬碟上面的某些檔案。用戶機器染毒以後,郵件系統將會變慢,並可能導致整個網路系統崩潰。

由於是通過電子郵件系統傳播,“我愛你”病毒在很短的時間內就襲擊了全球無以數計的電腦,並且,從被感染的電腦系統來看,“愛蟲”病毒的襲擊對象並不是普通的計算機用戶,而是那些具有高價值IT資源的電腦系統:美國國防部的多個安全部門、中央情報局英國國會等政府機構及多個跨國公司的電子郵件系統遭到襲擊。

據稱:“愛蟲”病毒是迄今為止發現的傳染速度最快而且傳染面積最廣的計算機病毒,它已對全球包括股票經紀、食品、媒體、汽車和技術公司以及大學甚至醫院在內的眾多機構造成了負面影響。“愛蟲”仍在迅速擴散之中,其危害性將繼續擴大。

又生變種

愛蟲病毒愛蟲病毒

在瘋狂的“愛蟲”病毒被發現當天不久,冠群金辰的全球病毒監測網發現,該病毒為了誘惑更多的網路用戶上當,現又生成另外一種變型病毒,帶有這種病毒的電子郵件主題詞中往往帶有“笑話”一詞,以引誘用戶打開郵件。預計,在未來幾天之內“我愛你”病毒還會生成更多種類的變型病毒。

此次被冠群金辰公司發現的這種新變型除了在電子郵件的主題詞中寫有“笑話”一詞以外,其附屬檔案中還帶有一個名為“特別可笑”的資料夾。為此,冠群金辰特提醒廣大網路用戶千萬不要打開任何帶有上述標誌的電子郵件並應立即將之刪除。同時,冠群金辰提醒計算機用戶要及時升級KILL反病毒軟體,因為KILL最新病毒庫版本已可查殺此病毒。

技術細節分析

愛蟲病毒愛蟲病毒界面
VBS/LoveLetter.A蠕蟲
VBS/LoveLetter.A蠕蟲的特徵
VBS/LoveLetter.A是一個基於e-mail的VBS(VisualBasicScript)蠕蟲,它以一個電子郵件的附屬檔案到達您的信箱,郵件的主題是ILOVEYOU(全大寫,無空格)。
e-mail的正文:

請儘快查收來自我的郵件附屬檔案的LOVELETTER。
e-mail帶有名為LOVE-LETTER-FOR-YOU.TXT.vbs的附屬檔案。.VBS擴展名是否顯示,依賴於系統的設定。
如果您收到了一封與以上所述相符的e-mail,您不要打開郵件的附屬檔案,並立即刪除e-mail。
LoveLetter蠕蟲通過產生如上所述的e-mail傳播,蠕蟲自身作為郵件的附屬檔案,且傳送給在Outlook通訊簿中的所有收件人。在大的機構中,產生的大量e-mail可能會使電子郵件伺服器超載,處於癱瘓狀態。

LoveLetter蠕蟲傳播的目標是Windows98,預設安裝的Windows2000和WindowsNT4.0以及安裝了WindowsScriptingHost(WSH)引擎的Windows95系統。蠕蟲使用不同的名字將自身複製到多重子目錄中:
在Windows目錄中的檔案名稱是Win32DLL.vbs,在\Windows\system目錄中的檔案名稱為MSKernel32.vbs和LOVE-LETTER-FOR-YOU.TXT.vbs。

LoveLetter蠕蟲修改註冊表信息,以便它在下次啟動時能運行:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32=
C:\WINDOWS\SYSTEM\MSKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win
32DLL=C:\WINDOWS\Win32DLL.vbs

蠕蟲還設定預設的IE(InternetExplorer)主頁,下載WIN_BUGFIX.exe檔案的一個副本,該檔案看起來是一個“後門伺服器”(backdoorserver)。該檔案在Web上真實的位置目前是關閉的。為了防止該站點再被訪問,不小心下載了執行檔,冠群金辰公司建議您可能的話,在代理伺服器阻塞如下URLs:
http://www.skyinet.net/~young1s
http://www.skyinet.net/~angelcat
http://www.skyinet.net/~koichi
http://www.skyinet.net/~chu

執行檔將被安裝和重命名,以便在啟動系統時也能運行:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinFAT32=C:\WINDOWS\SYSTEM\WinFAT32

LoveLetter蠕蟲搜尋所有的子目錄,並用自身的副本覆蓋(overwrite)擴展名為JPG,VBS,JS,JSE,CSS,WSH,SCT,HTA,MP3和MP2的所有檔案,給無VBS(non-VBS)後綴的檔案名稱添加VBS擴展名。如:一個名為Satisfaction.MP3的檔案將變為Satisfaction.MP3.VBS。下一次染毒檔案被點擊或被激活,蠕蟲將開始傳播。

如果IRC(線上聊天系統)客戶在系統中出現,LoveLetter蠕蟲將產生一個HTML檔案,將自身傳送到IRC通道中。

檢測與清除

北京冠群金辰公司的KILL11.16版本已經可以檢測VBS/LoveLetter.A蠕蟲的所有組成部分。要清除被感染的系統,必須刪除所有發現的帶毒檔案,而且必須刪除以上提及的所有註冊表中的鍵值

種類

VBS/LoveLetter.A蠕蟲家族

自從VBS/LoveLetter.A蠕蟲出現後,已經有幾個變種出現,下面是所有已知變種的特徵描述。KILL11.20版本已經包括了所有變種的檢測代碼,並加上LoveLetter蠕蟲家族的檢測代碼,以便可能檢測未來出現的變種。

VBS/LoveLetter.A蠕蟲

郵件主題:ILOVEYOU
郵件附屬檔案名:LOVE-LETTER-FOR-YOU.TXT.vbs
HTML檔案:LOVE-LETTER-FOR-YOU.HTM
駐留檔案:MSKernel32.vbsWin32DLL.vbsWinFAT32.exe
下載檔案:WIN-BUGSFIX.EXE
覆蓋的檔案擴展名:vbsvbejsjsecsswshscthtajpgjpegmp3mp2
郵件主體內容:
kindlychecktheattachedLOVELETTERcomingfromme.(意為:請查收我用附屬檔案給您傳送的LOVELETTER)

VBS/LoveLetter.B(又名VeryFunny)蠕蟲

郵件主題:VeryFunny.vbs
郵件附屬檔案:Joke
HTML檔案:VeryFunny.HTM
駐留檔案:MSKernel32.vbsWin32DLL.vbsWinFAT32.exe
下載檔案:WIN-BUGSFIX.exe
覆蓋的檔案擴展名:vbsvbejsjsecsswshscthtajpgjpegmp3mp2
郵件主體內容:

VBS/LoveLetter.C蠕蟲

郵件主題:Susitikimshivakarakavospuodukui...
郵件附屬檔案:LOVE-LETTER-FOR-YOU.TXT.vbs
HTML檔案:LOVE-LETTER-FOR-YOU.HTM
駐留檔案:MSKernel32.vbsWin32DLL.vbsWinFAT32.exe
下載檔案:WIN-BUGSFIX.exe
覆蓋的檔案擴展名:vbsvbejsjsecsswshscthtajpgjpegmp3mp2
郵件主體內容:
kindlychecktheattachedLOVELETTERcomingfromme.(意為:請查收我用附屬檔案給您傳送的LOVELETTER)

VBS/LoveLetter.D蠕蟲

郵件主題:MothersDayOrderConfirmation
郵件附屬檔案:mothersday.vbs
HTML檔案:mothersday.HTM
駐留檔案:MSKernel32.vbsWin32DLL.vbs
下載檔案:無
覆蓋檔案擴展名:vbsvbejsjsecsswshscthtainibatmp3mp2
郵件主體內容:
Wehaveproceededtochargeyourcredit
cardfortheamountof$326.92forthe
mothersdaydiamondspecial.
Wehaveattachedadetailedinvoiceto
thisemail.Pleaseprintouttheattachment
andkeepitinasafeplace.ThanksAgainand
HaveaHappyMothersDay!
[email protected]
(意為:我們從您的信用卡中收取了$326.92,用於支付母親節的特別鑽石。詳細發票請見郵件附屬檔案,請將其列印出來,並保管在安全的地方。再次表示感謝,母親節快樂!)

VBS/LoveLetter.E蠕蟲

郵件主題:Important!Readcarefully!!
郵件附屬檔案:IMPORTANT.TXT.vbs
HTML檔案:LOVE-LETTER-FOR-YOU.HTM
系統駐留檔案:ESKernel32.vbsES32DLL.vbsWinFAT32.exe
下載檔案:WIN-BUGSFIX.exe
覆蓋檔案擴展名:vbsvbejsjsecsswshscthtajpgjpegmp3mp2
郵件主體內容:
ChecktheattachedIMPORTANTcomingfromme!(意為:請查收我在附屬檔案中給您傳送的重要信息。)

VBS/LoveLetter.F蠕蟲

郵件主題:DangerousVirusWarning
郵件附屬檔案:virus_warning.jpg.vbs
HTML檔案:Urgent_virus_warning.htm
系統駐留檔案:MSKernel32.vbsWin32DLL.vbs
下載檔案:setup24.exe
覆蓋檔案擴展名:jsjsecsswshscthtawavtxtgifdochtmhtmlxlsjpg
jpegmp3mp2
郵件主體內容:
Thereisadangerousvirus
circulating.Pleaseclickattachedpicturetoviewitandlearntoavoidit.(意為:危險病毒正在大肆傳播。請點擊查看附屬檔案中的圖畫,以避免感染。)

VBS/LoveLetter.G蠕蟲

郵件主題:VirusALERT!!!
郵件附屬檔案:protect.vbs
HTML檔案:protect.HTM
系統駐留檔案:MSKernel32.vbsWin32DLL.vbs
下載檔案:無
覆蓋檔案擴展名:vbsvbejsjsecsswshscthtajpgjpegmp3mp2combat

郵件主體內容:
DearSymanteccustomer,
Symantec'sAntiVirusResearchCenterbeganreceivingreportsregardingVBS.LoveLetter.AvirusearlymorningonMay4,2000GMT.ThiswormappearstooriginatefromtheAsiaPacificregion.Distributionofthevirusiswidespreadandhundredsofthousandsofmachinesarereportedinfected.
TheVBS.LoveLetter.AisanInternetwormthatusesMicrosoftOutlooktoe-mailitselfasanattachment.
Thesubjectlineofthee-mailreadsILOVEYOU,withtheattachmenttitledLOVE-LETTER-FOR-YOU.TXT.VBS.Oncetheattachmentisopened,thevirusreplicatesandsendsane-mailtoalle-mailaddresseslistedintheaddressbook.ThevirusalsospreadsitselfviaInternetrelaychatandinfectsfilesonlocalandremotedrivesincludingfileswithextensionsvbs,vbe,js,sje,css,wsh,sct,hta,jpg,jpeg,mp3,mp2.
Usersshouldexercisecautionwhenopeninge-mailswiththissubjectline,evenifthee-mailisfromsomeonetheyknow,asthatishowthevirusisspread.
SymantecCorp.todayannouncedavailabilityofthevirusdefinitiontodetect,repairandprotectusersagainsttheVBS.LoveLetter.Avirus.
ThisdefinitionisavailablenowviaSymantec'sLiveUpdateandcanalsobedownloadedfromthefollowingwebsites:
"http://www.symantecstore.com/AF74211/promo/loveletter"
"http://www.digitalriver.com/symantec"
AlsoasaquicksolutionSymantecCorp.OffersVisualBasicScripttoprotectyourPCagainst
thisworm.(Seeattached.)
Note!Whenexecuted,thisscriptwillprotectYourPCfrombeingINFECTEDbyVBS.LoveLetter.Avirus.
SymantecCorporation-aworldleaderininternetsecuritytechnology.
郵件內容意為:

親愛的賽門鐵克用戶:

格林威治時間2000年5月4日早晨,賽門鐵克的反病毒研究中心(AntiVirusResearchCenter)收到許多關於VBS.LoveLetter.A病毒的報告。這一病毒來自亞太地區,它正廣泛傳播,已有數十萬台計算報告感染該病毒。
VBS.LoveLetter.A是一種Internet病毒,它把自己作為MicrosoftOutlook電子郵件的附屬檔案進行傳播。

郵件主題為“ILOVEYOU”,附屬檔案為LOVE-LETTER-FOR-YOU.TXT.VBS。附屬檔案一旦打開,該病毒即複製自身,通過電子郵件傳送給地址薄中的所有人。該病毒還可通過Internet聊天傳播,並感染本地/遠程驅動器上擴展名為vbs,vbe,js,sje,css,wsh,sct,hta,jpg,jpeg,mp3,mp2的檔案。

用戶在打開這一主題的電子郵件時務必提高警惕,即便這封電子郵件來自他們所認識的人,這正是這一病毒得以大肆傳播的原因。

賽門鐵克公司日前發布病毒特徵庫,以檢測、修復、防護VBS.LoveLetter.A病毒。
用戶可通過賽門鐵克的LiveUpdate獲得最新病毒特徵庫,也可從http://www.symantecstore.com/AF74211/promo/loveletter、http://www.digitalriver.com/symantec網站下載。

賽門鐵克公司還提供了快捷的解決方案,請見附屬檔案的VisualBasicScript。
註:當執行時,該程式將保護您的機器免遭VBS.LoveLetter.Avirus感染。

VBS/LoveLetter.H蠕蟲

郵件主題:BewerbungKreolina
郵件附屬檔案:BEWERBUNG.TXT.vbs
HTML檔案:BEWERBUNG.HTM
系統駐留檔案:MSKernel32.vbsWin32DLL.vbsWinFAT32.exe
下載檔案:WIN-BUGSFIX.exe
覆蓋檔案擴展名:vbsvbejsjsecsswshscthtajpgjpegmp3mp2
郵件主體內容:
SehrgeehrteDamenundHerren!
Note:German,pretendingtobearesume.(意為:註:德文,冒充簡歷

VBS/LoveLetter.I蠕蟲

郵件主題:Important!Readcarefully!!
附屬檔案:IMPORTANT.TXT.vbs
HTML檔案:LOVE-LETTER-FOR-YOU.HTM
系統駐留檔案:ESKernel32.vbsES32DLL.vbsWinFAT32.exe
下載檔案:WIN-BUGSFIX.exe
覆蓋檔案擴展名:vbsvbejsjsecsswshscthtajpgjpegmp3mp2
郵件主體內容:
ChecktheattachedIMPORTANTcomingfromme!
Note:InternaldifferencestotheEvariantinthecode.
(意為:請查收我在附屬檔案中給您傳送的重要信息。
註:在代碼上與E變種的內部有所不同。)

預防

愛蟲病毒的厲害之處在於,它能夠通過MicrosoftOutlook自動向被感染者地址簿中所有郵件傳送病毒,造成網路系統崩潰。此病毒與去年曾一度鬧的人心惶惶的美麗殺手病毒有類似的傳播手段。相比較而言,此病毒的感染性更強,它可尋找本地驅動器和映射驅動器,並在系統所有目錄和子目錄中搜尋可以感染的目標。這也是此病毒能夠在美麗殺手爆發一年後,再次造成全球大面積網路癱瘓的一個重要原因。

冠群金辰認為21世紀網路的發展為企業和個人孕育著無限的商機,但是,伴隨網路接踵而來的黑客大肆攻擊網站事件、蠕蟲病毒導致嚴重網路癱瘓事件,已經不斷向人們敲響了網路安全的警鐘。據冠群金辰對當前病毒傳播手段的統計表明,企業當前面臨的網路不安全因素主要源於郵件系統;而對個人用戶構成最大、最多威脅的病毒也多通過郵件、網路進行傳播,以“美麗殺手”“ZIP蠕蟲”“愛蟲”等大量通過網際網路郵件系統自動的病毒呈現出爆發頻率加快的態勢。因此,作為一個反毒廠家目前要作到的就是從企業內部的每一個可能傳播病毒的計算機和伺服器進行防護,特別值得指出的是,針對郵件系統的安全防護已經成為企業目前必須解決網路的安全問題。並且企業級的網路安全產品必須具備優秀先進的實時防護技術,全平台防護技術,同時安全產品應針對病毒、蠕蟲這些頻繁出現的不安全因素提供病毒快速捕捉及病毒庫升級功能,即具備全球病毒監測及全國服務網的能力。

針對目前企業受到郵件病毒爆發的威脅的情況,冠群金辰推出了一系列專門針對企業用戶的套裝組合,在此套裝組合中,冠群金辰公司將的KILLforMicrosoftExchange和KILLforLotusNotes兩種唯一通過公安部評測的郵件群件防護軟體與KILL網路版的伺服器端產品和客戶端產品無縫集成在一起,為用戶提供先進的病毒檢測技術、通過對伺服器郵件伺服器客戶端的3位一體全面防護,從而達到自動發現,自動報警,自動清除所有通過網路傳播的病毒的功能,時時刻刻全方位保護用戶的郵件及檔案系統,確保用戶不會受到“愛蟲”一類病毒困擾。企業的網路將能夠真正構架起安全的樓宇。

相關詞條

計算機術語4

21世紀是網路和信息化的世紀,電腦的發展改變著人們的生活。通過了解計算機術語,能更清楚的認識計算機,更好的運用計算機。

相關詞條

相關搜尋

熱門詞條

聯絡我們