概述
病毒別名:處理時間:2000-05-04
威脅級別:★★
中文名稱:愛蟲/我愛你
病毒類型:VBS病毒
影響系統:Win9x / WinNT
病毒行為:
VBS.LoveLetter是一個基於 e-mail 的VBS(Visual Basic Script)腳本病毒。通過Microsoft Outlook電子郵件系統傳播,郵件的主題為"I LOVE YOU",並包含一個附屬檔案。一旦在Microsoft Outlook里打開這個郵件,系統就會自動複製並向地址簿中的所有郵件電址傳送這個病毒。它可以改寫本地及網路硬碟上面的某些檔案。用戶機器染毒以後,郵件系統將會變慢,並可能導致整個網路系統崩潰。1.該病毒通過產生如下所述的e-mail 傳播,病毒自身作為郵件的附屬檔案,且傳送給在Outlook訊簿中的所有收件人。
e-mail 的主題:ILOVEYOU
e-mail 的正文:請儘快查收來自我的郵件附屬檔案的LOVELETTER
e-mail 的附屬檔案:LOVE-LETTER-FOR-YOU.TXT.vbs (其中.VBS擴展名是否顯示,依賴於系統的設定)
(註:不同變種有所變化)
在企業的網路中,病毒產生的大量e-mail可能會使電子郵件伺服器超載,處於癱瘓狀態。
2.該病毒傳播的目標是Windows 98,預設安裝的Windows 2000 和Windows NT 4.0 以及安裝了Windows Scripting Host(WSH)引擎的Windows 95系統。蠕蟲使用不同的名字將自身複製到多重子目錄中:
%SystemRoot%\Win32DLL.vbs
%System%\MSKernel32.vbs
%System%\LOVE-LETTER-FOR-YOU.TXT.vbs
3.病毒修改註冊表信息,以便它在下次啟動時能運行:
在註冊表的主鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
中添加如下鍵值:
"MSKernel32"="%system%\MSKernel32.vbs"
在註冊表的主鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
中添加如下鍵值:
"Win32DLL"="%system%\Win32DLL.vbs"
4.病毒修改IE的預設(Internet Explorer)主頁,從上面下載名為WIN_BUGFIX.exe的後門程式。該檔案在Web上真實的位置目前是關閉的。
病毒還會在註冊表的主鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
中添加鍵值:
"WIN-BUGSFIX" = "WIN-BUGSFIX.EXE"
這樣當windows下次重新後,該後門程式得以運行,並將自身拷貝為%System%\WINFAT32.EXE。該木馬運行後病毒會將IE預設主頁改為空白頁(about:blank)。
該後門程式實際實際上是一個盜號木馬。它獲取本地機器名,IP位址,網路登入帳號和密碼, RAS信息等等,然後傳送郵件給木馬使用者,例如"[email protected]", 主題為"Barok... email.passwords.sender.trojan"。
5.病毒搜尋所有的子目錄,並用自身的副本覆蓋(overwrite)擴展名為JPG,VBS,JS,JSE,CSS,WSH,SCT,HTA,MP3和MP2 的所有檔案,給無VBS(non-VBS)後綴的檔案名稱添加VBS擴展名。如:一個名為Satisfaction.MP3的檔案將變為Satisfaction.MP3.VBS。下一次染毒檔案被點擊或被激活,病毒將開始傳播。
6.如果IRC(線上聊天系統)客戶在系統中出現,病毒將產生一個HTML檔案,將自身傳送到IRC通道中。
