病毒名称(中文):
爱虫/我爱你
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
文本病毒
病毒长度:
影响系统:
Win9xWinNT
病毒行为:
VBS.LoveLetter是一个基于e-mail的VBS(VisualBasicScript)脚本病毒。通过MicrosoftOutlook电子邮件系统传播,邮件的主题为"ILOVEYOU",并包含一个附件。一旦在MicrosoftOutlook里打开这个邮件,系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。它可以改写本地及网络硬盘上面的某些文件。用户机器染毒以后,邮件系统将会变慢,并可能导致整个网络系统崩溃。
1.该病毒通过产生如下所述的e-mail传播,病毒自身作为邮件的附件,且发送给在Outlook讯簿中的所有收件人。
e-mail的主题:ILOVEYOU
e-mail的正文:请尽快查收来自我的邮件附件的LOVELETTER
e-mail的附件:LOVE-LETTER-FOR-YOU.TXT.vbs(其中.VBS扩展名是否显示,依靠于系统的设置)
(注:不同变种有所变化)
在企业的网络中,病毒产生的大量e-mail可能会使电子邮件服务器超载,处于瘫痪状态。
2.该病毒传播的目标是Windows98,缺省安装的Windows2000和WindowsNT4.0以及安装了WindowsScriptingHost(WSH)引擎的Windows95系统。蠕虫使用不同的名字将自身复制到多重子目录中:
%SystemRoot%\Win32DLL.vbs
%System%\MSKernel32.vbs
%System%\LOVE-LETTER-FOR-YOU.TXT.vbs
3.病毒修改注册表信息,以便它在下次启动时能运行:
在注册表的主键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
中添加如下键值:
"MSKernel32"="%system%\MSKernel32.vbs"
在注册表的主键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
中添加如下键值:
"Win32DLL"="%system%\Win32DLL.vbs"
4.病毒修改IE的缺省(InternetExplorer)主页,从上面下载名为WIN_BUGFIX.exe的后门程序。该文件在Web上真实的位置目前是关闭的。
病毒还会在注册表的主键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
中添加键值:
"WIN-BUGSFIX"="WIN-BUGSFIX.exe"
这样当windows下次重新后,该后门程序得以运行,并将自身拷贝为%System%\WINFAT32.EXE。该木马运行后病毒会将IE缺省主页改为空白页(about:blank)。
该后门程序实际实际上是一个盗号木马。它获取本地机器名,IP地址,网络登陆帐号和密码,RAS信息等等,然后发送邮件给木马使用者,例如"mailme@super.net.ph",主题为"Barok...email.passwords.sender.trojan"。
5.病毒搜索所有的子目录,并用自身的副本覆盖(overwrite)扩展名为JPG,VBS,JS,JSE,CSS,WSH,SCT,HTA,MP3和MP2的所有文件,给无VBS(non-VBS)后缀的文件名添加VBS扩展名。如:一个名为Satisfaction.MP3的文件将变为Satisfaction.MP3.VBS。下一次染毒文件被点击或被激活,病毒将开始传播。
6.假如IRC(在线聊天系统)客户在系统中出现,病毒将产生一个HTML文件,将自身发送到IRC通道中。
