概述
病毒別名:I-Worm.generic【AVP】處理時間:
威脅級別:★★
中文名稱:愛死你
病毒類型:蠕蟲
影響系統:Win9x / WinNT
病毒行為:
該蠕蟲病毒顯示為一個資料夾的圖示,迷惑用戶去打開,病毒就悄悄的在後台運行了。它會將自己複製到系統多個目錄下面,取名叫做i love you.exe。並且在每個可寫的磁碟根目錄下生成三個檔案,使得用戶一打開該磁碟就可能激活病毒。它將自己載入到註冊表得啟動項,並且修改註冊表使得檔案管理器不顯示隱藏檔案以及檔案擴展名。使用戶更難發覺病毒得存在。它會終止瑞星,金山毒霸,賽門鐵克等反病毒軟體,然後搜尋Outlook里的信箱地址,將自己以附屬檔案的形式傳送出去。1.複製自身到%SystemRoot%\i love you.exe, %System%\i love you.exe, %Temp%\i love you.exe,釋放檔案%SystemRoot%\fuck.doc。且在
病毒搜尋到得每個磁碟根目錄下生成一下3個檔案:
精彩公文包.exe(病毒副本)
ily.htt
desktop.ini
2.修改註冊表。
添加啟動項:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
"i love you zl"="%SystemRoot%\i love you.exe"
修改註冊表,使檔案管理器不顯示隱藏檔案以及檔案擴展名
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState\
"FullPath"=dword:0x1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState\
"FullPathAddressSUCCESS"=dword:0x1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"Hidden"=dword:0x2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"HideFileExt"=dword:0x1
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security
"Level"=dword:0x1
3.終止瑞星,金山毒霸,賽門鐵克等反病毒軟體,並禁止用戶使用任務管理
4.搜尋Outlook里的信箱地址,將自己以附屬檔案的形式傳送出去,附屬檔案的名字為i love you.dot。
5.該病毒用VB編寫。
