IloveU病毒专题 -pc6资讯

您的位置：首页 → 网络冲浪 → 病毒快报 → IloveU病毒专题

IloveU病毒专题 时间：2004/10/8 16:41:00来源：本站整理作者：蓝点我要评论(0): 　　　　病毒名称：Iloveu

　　别名：VBS/LoveLetter.A

　　最早出现日期：5月4日

　　这个名为"我爱你"的病毒是通过Microsoft Outlook电子邮件系统传播的，邮件的主题为"I LOVE YOU"，并包含一个附件。一旦在Microsoft Outlook里打开这个邮件，系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。它可以改写本地及网络硬盘上面的某些文件。用户机器染毒以后，邮件系统将会变慢，并可能导致整个网络系统崩溃。

　　"爱虫"病毒的袭击对象并不是普通的计算机用户，而是那些具有高价值IT资源的电脑系统：美国国防部的多个安全部门、中央情报局、英国国会等政府机构及多个跨国公司的电子邮件系统遭到袭击。

病毒技术特征

　　VBS/LoveLetter.A 是一个基于 e-mail 的VBS（Visual Basic Script）蠕虫，它以一个电子邮件的附件到达您的邮箱，邮件的主题是 ILOVEYOU（全大写，无空格）。

　　e-mail 的正文：

　　请尽快查收来自我的邮件附件的LOVELETTER。

　　e-mail 带有名为 LOVE-LETTER-FOR-YOU.TXT.vbs 的附件。.VBS扩展名是否显示，依赖于系统的设置。

　　LoveLetter 蠕虫通过产生如上所述的e-mail 传播，蠕虫自身作为邮件的附件，且发送给在Outlook 通讯簿中的所有收件人。在大的机构中，产生的大量e-mail 可能会使电子邮件服务器超载，处于瘫痪状态。

　　LoveLetter 蠕虫传播的目标是Windows 98, 缺省安装的Windows 2000 和Windows NT 4.0 以及安装了Windows Scripting Host(WSH)引擎的Windows 95系统。蠕虫使用不同的名字将自身复制到多重子目录中：

　　在Windows目录中的文件名是Win32DLL.vbs，在＼Windows＼system目录中的文件名为MSKernel32.vbs 和 LOVE-LETTER-FOR-YOU.TXT.vbs。

　　LoveLetter 蠕虫修改注册表信息，以便它在下次启动时能运行：

　　HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run＼MSKernel32=

　　C:＼WINDOWS＼SYSTEM＼MSKernel32.vbs

　　HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices＼Win

　　32DLL=C:＼WINDOWS＼Win32DLL.vbs

　　蠕虫还设置缺省的IE（Internet Explorer）主页，下载WIN_BUGFIX.exe 文件的一个副本，该文件看起来是一个"后门服务器"（backdoor server）。该文件在Web上真实的位置目前是关闭的。

　　可执行文件将被安装和重命名，以便在启动系统时也能运行：

　　HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run＼WinFAT32=C:＼WINDOWS＼SYSTEM＼WinFAT32

　　LoveLetter 蠕虫搜索所有的子目录，并用自身的副本覆盖（overwrite）扩展名为JPG, VBS, JS, JSE, CSS, WSH, SCT, HTA, MP3和MP2 的所有文件，给无VBS（non-VBS）后缀的文件名添加VBS扩展名。如：一个名为Satisfaction.MP3的文件将变为Satisfaction.MP3.VBS。下一次染毒文件被点击或被激活，蠕虫将开始传播。

　　如果IRC（在线聊天系统）客户在系统中出现，LoveLetter 蠕虫将产生一个HTML文件，将自身发送到IRC通道中。

病毒清除

　　要清除被感染的系统，必须删除所有发现的带毒文件，而且必须删除以上提及的所有注册表中的键值。

文章评论

查看所有0条评论>>

热门文章 没有查询到任何记录。