病毒名稱
VBS.Plan.A其它名稱
VBS.Loveletter.AS, VBS.Loveletter.BJ病毒屬性
蠕蟲病毒危害性:低危害流行程度:低具體介紹
:Plan.A 是一個新的通過電子郵件傳播的蠕蟲病毒,在美國的很多地區都發現了該病毒。該蠕蟲通過MicrosoftOutlook 的e-mail傳播,它以一個e-mail的方式達到你的系統,郵件主題或者是隨機產生的,或是如下的內容:
US PRESIDENT AND FBI SECRETS =PLEASE VISIT =>(http: //WWW.2600.COM)<=
(註:美國總統和美國聯邦調查局的秘密=請訪問=>(http: //WWW.2600.COM)<=)
郵件主體內容也可能是隨機產生的或是如下內容:
VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PICTURES..
電子郵件中包含了一個附屬檔案檔案,檔案名稱及擴展名".GIF.vbs", ".BMP.vbs", 或 ".JPG.vbs"是隨機產生的,擴展名VBS是否顯示依賴於系統的設定。
一旦病毒被激活,蠕蟲的三個副本(如下)將駐留到系統中:
Windows\System\LINUX32.vbs
Windows\reload.vbs
Windows\System\(randomly generated filename)(隨機產生的檔案名稱)
以下的註冊關鍵字是為檔案LINUX32.vbs和reload.vbs檔案創建的,以便Windows下次啟動時能運行這兩個檔案:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\LINUX32\Windows\System\LINUX32.vbs"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\reload\Windows\reload.vbs"
註:系統目錄和windows目錄將被改變,以與染毒機器的設定相匹配。
如果染毒機器存在"WinFAT32.exe"檔案(這個檔案是由VBS/LoveLetter.A蠕蟲病毒下載的),Plan.A修改了IE瀏覽器的啟動頁,使它能下載以下三個檔案中的一個:macromedia32.zip, linux321.zip, or linux322.zip。
以下擴展名的檔案將被蠕蟲的副本替代,且增加"VBS"擴展名。例如:test.hta 檔案將變成 test.hta.vbs。被蠕蟲覆蓋的檔案擴展名為:vbs、vbe、js、jse、css、wsh、sct、hta、jpg、jpeg。MP3 和 MP2的檔案將被蠕蟲標記成隱含檔案(hidden),並被蠕蟲的副本替代,使用的是原檔案名稱加VBS擴展名。
在9月17日,將顯示一條訊息:
Dedicated to my best brother=>Christiam Julian(C.J.G.S.) Att. (M.H.M. TEAM)
(註:獻給我最好的哥哥=> Christiam Julian(C.J.G.S.) Att (M.H.M. TEAM) )
然後,所有的網路驅動器(映射驅動器)將被斷開。
