病毒名称:
Worm.Mail.Sleepless
类别: 邮件蠕虫
病毒资料:
破坏方法:
通过邮件进行传播的蠕虫病毒。
VB编写的蠕虫病毒。
病毒运行后有以下行为:
一、将自己复制到C盘根目录以及%WINDIR%、%SYSDIR%目录下,其中C盘根目录下的文件名为"精彩公文包.exe",其余两个文件的文件名为"i love you.exe"。
二、修改注册表以下键值:
1.HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion
\Run 增加数据项:"i love you zl"
数据值为:"%WINDIR%\I LOVE YOU.EXE"
三、释放"ILY.HTT"文件到C盘根目录下,运行该文件可以使病毒放置在C盘根目录的复本得以运行。修改C盘根目录下的"DESKTOP.INI"文件,使"ILY.HTT"能够运行。
四、释放一个名为"FUCK.DOC"的Word文件到%WINDIR%目录下。如果该文件被WORD打开其中的宏病毒就会运行,这个宏病毒将感染NORMAL文档,并且每次它运行时它将会把%WINDIR%目录下的"i love you.exe"文件运行起来。
五、搜索"江民杀毒软件 KV2004:实时监视"窗体,对该窗体发送关闭消息该窗体关闭,并弹出标题为"江民提示"内容为"江民提示:别让学生不停搬寝室,我老江都看不下去了!"的对话框;搜索"ravmon.exe"窗体,对该窗体发送关闭消息该窗体关闭,并弹出标题为"瑞星提示"内容为"瑞星提示:查病毒请按确定,卖红薯请按取消!"的对话框;搜索"Norton AntiVirus"窗体,对该窗体发送关闭消息该窗体关闭,并弹出标题为"诺顿提示"内容为"诺顿提示:我不行了,要关闭了!"的对话框;搜索"Kingsoft KWatch UI"窗体,对该窗体发送关闭消息该窗体关闭,并弹出标题为"毒霸提示"内容为"毒霸提示:要毒霸请按确定,要波霸请按取消!"的对话框。
六、搜索Outlook的邮件地址列表,构造携带病毒的邮件发送出去。
邮件标题为:"浪漫樱花"
邮件内容为:"理科生的浪漫,告诉全世界————我爱你!"
邮件附件为:"i love you.exe"、"i love you.dot"
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-9-9
