病毒名稱:
VBS.ILOVEYOU別名:
LOVE-LETTER-FOR-YOU.TXT.vbs,IloveYou病毒特點:
該病毒可感染安裝了Windows Scripting Host(WSH)的Windows 9x或NT系統及Windows 2000系統,該病毒感染力極強,可尋找本地驅動器和映射驅動器,並在所有的目錄和子目錄中搜尋可以感染的目標。該病毒感染擴展名為"vbs", "vbe", "js", "jse", "css", "wsh", "sct","hta", "jpg", "jpeg", "mp3"和"mp2"等十二種類型檔案。當病毒找到有擴展名為"js", "jse", "css", "wsh", "sct","hta"檔案時,病毒將覆蓋源檔案,並將檔案後綴改為"vbs";當感染擴展名為"vbs", "vbe"的檔案時,原檔案將被病毒代碼覆蓋;當感染擴展名為"jpg", "jpeg"的檔案時,用病毒代碼覆蓋檔案原來的內容,並將後綴加上.vbs後綴,隨後毀掉宿主檔案,破壞了這些數據檔案原始內容。擴展名為"mp3"和"mp2"的檔案,其屬性被改為隱含檔案,然後創建病毒檔案,其檔案名稱為以原始檔案名稱添加後綴.vbs作為新的檔案名稱,例如:原始檔案為jianyan.mp3,該檔案被感染後,jianyan.mp3的檔案屬性改為隱含檔案,然後生成病毒檔案jianyan.mp3.vbs。
作為蠕蟲,該病毒傳播機理和“梅莉莎”類似,通過Microsoft Outlook傳送帶附屬檔案名為“LOVE-LETTER-FOR-YOU.TXT.vbs”的郵件給用戶地址簿里所有的地址來傳播的,主題為“I LOVE YOU”(譯:我愛你),主體為“kindly check the attached LOVELETTER coming from me(譯:請您收下這份情書)”,另外一個帶毒的附屬檔案。
一旦病毒運行,將會在windows目錄中生成以下檔案:Win32DLL.vbs
在windows目錄的system子目錄中生成以下檔案: MSKernel32.vbs LOVE-LETTER-FOR-YOU.TXT.vbs.
該病毒還修改註冊表中的一些路徑以達到Windows啟動時自動運行的目的,增加註冊表鍵值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\MSKernel32
為
\windows\system\MSKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices\Win32DLL
為
\windows\Win32DLL.vbs
該病毒在\windows\system的子目錄下查找名為WinFAT32.exe的檔案,然後將IE默認的啟始頁隨機修改為以下站點之一:
http://www.skyinet.net/~young1s/
HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/
WIN- BUGSFIX.EXE
http://www.skyinet.net/~angelcat/
skladjflfdjghKJnwetryDGFikjUIyqwerWe546786324hjk4
jnHHGbvbmKLJKjhkqj4w/WIN -BUGSFIX.exe
http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5
hfFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe
http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLH
jkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqweb
mznxcbvnmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe
另外該病毒還在IE的下載目錄中搜尋名為WIN-BUGSFIX.exe的檔案,如果該檔案不存在,則修改IE的默認啟始頁面為“about:blank”,並修改註冊表鍵值: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX為WIN-BUGSFIX.exe。 }
“VBS.ILOVEYOU”是用Vbscript腳本語言編寫的,它被運行後可以將自身病毒代碼進行複製,並用複製的病毒代碼覆蓋某些後綴的檔案,造成這些檔案被破壞。因此“VBS.ILOVEYOU”是一種計算機病毒。根據對其病毒代碼的分析,它可以通過電子郵件自動傳送一封名為“ILOVEYOU”的郵件,並且將病毒代碼作為郵件的附屬檔案。但是,我們在中文平台通過激活病毒進行傳染破壞實驗,其自動傳送郵件的代碼不能正常執行。