“ILOVEYOU”病毒病毒资料【病毒名称】ILOVEYOU病毒【病毒别名】情书病毒或Loveletter病毒【警惕程度】★★★☆【病毒类型】蠕虫病毒【中毒症状】附档名为:*.mp3,*.vbs,*.jpg,*.jpeg,*.hta,*.vbe,*.js,*.jse....等十种文件格式的附档名会改为*.vbs。病毒背景2000年5月4日,一种名为“我爱你”的电脑病毒开始在全球各地迅速传播。这个病毒是通过MicrosoftOutook电子邮件系统传播的,邮件的主题为“ILOVEYOU”,并包含一个附件。一旦在MicrosoftOutlook里打开这个邮件,系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。“我爱你”病毒,又称“爱虫”病毒,是一种蠕虫病毒,它与1999年的梅丽莎病毒非常相似。据称,这个病毒可以改写本地及网络硬盘上面的某些文件。用户机器染毒以后,邮件系统将会变慢,并可能导致整个网络系统崩溃。由于是通过电子邮件系统传播,“我爱你”病毒在很短的时间内就袭击了全球无以数计的电脑,并且,从被感染的电脑系统来看,“爱虫”病毒的袭击对象并不是普通的计算机用户,而是那些具有高价值IT资源的电脑系统:美国国防部的多个安全部门、中央情报局、英国国会等政府机构及多个跨国公司的电子邮件系统遭到袭击。据称:“爱虫”病毒是迄今为止发现的传染速度最快而且传染面积最广的计算机病毒,它已对全球包括股票经纪、食品、媒体、汽车和技术公司以及大学甚至医院在内的众多机构造成了负面影响。目前,“爱虫”仍在迅速扩散之中,其危害性将继续扩大。传播方式透过一封信件标题为ILOVEYOU(我爱你)的电子邮件散播,附件为LOVE-LETTER-FOR-YOU.txt.vbs(献给你的情书),信件内容kindlychecktheattachedLOVELETTERcomingfromme。病毒危害病毒会经由被感染者Outlook通讯簿的名单发出自动信件,藉以连锁性的大规模散播,造成企业mailserver瘫痪。病毒发作时,会感染并覆写附档名为:*.mp3,*.vbs,*.jpg,*.jpeg,*.hta,*.vbe,*.js,*.jse....等十种文件格式;文件遭到覆写后,附档名会改为*.vbs。VBS_LOVELETTER病毒与美丽杀病毒的最大差异在于,美丽杀病毒只会对通讯簿的前50个名单发出垃圾邮件,而VBS_LOVELETTER病毒是向所有的通讯簿名单发出自动信件,其传播的速度比美丽杀病毒快上数倍,破坏力更为强大。它还大肆复制自身覆盖音乐和图片文件。更可气的是,它还会在受到感染的机器上搜索用户的账号和密码,并发送给病毒作者。感染步骤1.第一次打开病毒文件时,病毒会自动产生下列文件于windows目录中\windows\Win32DLL.vbs\system\MSKernel32.vbs\system\LOVE-LETTER-FOR-YOU.TXT.vbs.\system\LOVE-LETTER-FOR-YOU.TXT.HTML.2..当重新开机后病毒并且会修改下列windows的登录值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32,:\windows\system\MSKernel32.vbsHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL,:\windows\Win32DLL.vbs.3.在:\windows\system目录中寻找WinFAT32.exe.如果文件存在即会修改InternetExplorer并开启特定网站中的wiN-BUGSFIX.EXE4.接下来病毒会在:\windows\system目录中,寻找WIN-BUGSFIX.exe如果文件不存在即会修改InternetExplorer起始划面变为about:blank并且修改WINDOWS登录值5.这个病毒会利用MicrosoftOutlook扩散.并将LOVE-LETTER-FOR-YOU.TXT.vbs附加于E-MAIL中并传送给个人通讯簿所记载的帐号.其信件内容为:主旨:ILOVEYOU.内容:KINDLYCHECKTHEATTACHEDLOVELETTERCOMINGFROMME.另外,病毒会开始篡改Mirc的script.ini文件如此会造成使用者利用mIRC,上网聊天时.病毒会自动呼叫dccsend指令给同一个聊天室其它使用者并且将病文件传送给这些使用者,LOVE-LETTER-FOR-YOU.HTM6.这个病毒会寻求以下附文件名的文件:.vbs.vbe.js.jse.css.wsh.sct.hta.jpg.jpeg.mp3.mp2当找到时.会将病毒程序覆盖于文件中.并且将档名修改为+.vbs.的格式.导致文件无法正常执行.杀毒方法1.预防。当收到信件标题为ILOVEYOU的电子邮件,应立即删除,切勿开启附件以免中毒。然后应立即删除,即使寄件者是你所熟悉的人名,也不要开启附加文件以免中毒。2.自动杀毒。1)安装杀毒软件,实行自动杀毒。2)搜索ILoveYou病毒清除器。安装后杀毒。3.手动杀毒收到信件标题为ILOVEYOU的电子邮件,应立即删除,即使寄件者是你所熟悉的人名,也不要开启附加文件以免中毒。1.点选开始=执行2.输入regedit3.HKEY_LOCAL_machine\SOFTWARE\Microsoft\windows\currentVersion\Run\MSKernel32HKEY_LOCAL_machine\SOFTWARE\Microsoft\windows\currentVersion\RunServices\Win32DLLHKEY_LOCAL_machine\SOFTWARE\Microsoft\windows\currentVersion\Run\WIN-BUGSFIX4.删除下列文件:\windows\Win32DLL.VBS\system\MSKernel32.VBS\system\LOVE-LETTER-FOR-YOU.TXT.VBS\system\LOVE-LETTER-FOR-YOU.TXT.HTM“爱虫”变种第一步,它会将你电脑中的互联网浏览器软件IE的起始页修改为一个带有可执行文件的网页。专家指出,研究人员目前还不清楚这个网页的可执行文件一旦执行,会造成怎样的后果。这个网页已在最短的时间内被专家清除;第二步,它将删除在你的电脑中所能够找到的全部扩展名为JPG、JPEG、MP2、MP3的文件。删完文件以后,病毒再按照你电脑中的通址簿逐一发出一封电子邮件。如果是公司用户,它会按照公司邮件列表的地址一个不漏地发出带毒邮件,这也就是“爱虫”病毒传播起来速度比“美丽杀”还要快、范围还要广的原因所在。“爱虫”病毒感染的对象包括任何运行视窗98、NT4.0以及同时运行视窗95和IE5.0的电脑。它必须依赖MicrosoftOutlook传播。苹果电脑和LINUX操作系统用户不受感染。专家指出,病毒能够穿透公司电脑网络的防火墙,原因在于绝大多数公司网络没有设置拒绝接收.txt.vbs扩展名的文件。这还不是它最令人可怕的地方。“爱虫”病毒问世才一天就产生了十一种以上的变体,让人防不胜防,这才是它令反病毒专家感到棘手、令一般用户感到恐怖之处,其中5日出现的一个变体,可能是所有病毒中破坏力最强的,因为它把自己伪装成为赛门铁克公司的反病毒警告。这个变体的主题上写着:“病毒警告”,正文开头则写着:“亲爱的赛门铁克用户”。信的附件是一个关于所谓防毒诀窍的文档。其他变体也伪装成为病毒警告,但是没有提到“赛门铁克”公司。还有一种变体趁着母亲节即将来临,伪称收信人订购了一份电子礼物,要求加以确认。病毒实例VBS/LoveLetter.A蠕虫邮件主题:ILOVEYOU邮件附件名:LOVE-LETTER-FOR-YOU.TXT.vbsHTML文件:LOVE-LETTER-FOR-YOU.HTM驻留文件:MSKernel32.vbsWin32DLL.vbsWinFAT32.exe下载文件:WIN-BUGSFIX.exe覆盖的文件扩展名:vbsvbejsjsecsswshscthtajpgjpegmp3mp2邮件主体内容:kindlychecktheattachedLOVELETTERcomingfromme.(意为:请查收我用附件给您发送的LOVELETTER)VBS/LoveLetter.B(又名VeryFunny)蠕虫邮件主题:VeryFunny.vbs邮件附件:JokeHTML文件:VeryFunny.HTM驻留文件:MSKernel32.vbsWin32DLL.vbsWinFAT32.exe下载文件:WIN-BUGSFIX.exe覆盖的文件扩展名:vbsvbejsjsecsswshscthtajpgjpegmp3mp2邮件主体内容:无VBS/LoveLetter.C蠕虫邮件主题:Susitikimshivakarakavospuodukui...邮件附件:LOVE-LETTER-FOR-YOU.TXT.vbsHTML文件:LOVE-LETTER-FOR-YOU.HTM驻留文件:MSKernel32.vbsWin32DLL.vbsWinFAT32.exe下载文件:WIN-BUGSFIX.exe覆盖的文件扩展名:vbsvbejsjsecsswshscthtajpgjpegmp3mp2邮件主体内容:kindlychecktheattachedLOVELETTERcomingfromme.(意为:请查收我用附件给您发送的LOVELETTER)VBS/LoveLetter.D蠕虫邮件主题:MothersDayOrderConfirmation邮件附件:mothersday.vbsHTML文件:mothersday.HTM驻留文件:MSKernel32.vbsWin32DLL.vbs下载文件:无覆盖文件扩展名:vbsvbejsjsecsswshscthtainibatmp3mp2邮件主体内容:Wehaveproceededtochargeyourcreditcardfortheamountof$326.92forthemothersdaydiamondspecial.Wehaveattachedadetailedinvoicetothisemail.Pleaseprintouttheattachmentandkeepitinasafeplace.ThanksAgainandHaveaHappyMothersDay!(意为:我们从您的信用卡中收取了$326.92,用于支付母亲节的特别钻石。详细发票请见邮件附件,请将其打印出来,并保管在安全的地方。再次表示感谢,母亲节快乐!)VBS/LoveLetter.E蠕虫邮件主题:Important!Readcarefully!!邮件附件:IMPORTANT.TXT.vbsHTML文件:LOVE-LETTER-FOR-YOU.HTM系统驻留文件:ESKernel32.vbsES32DLL.vbsWinFAT32.exe下载文件:WIN-BUGSFIX.exe覆盖文件扩展名:vbsvbejsjsecsswshscthtajpgjpegmp3mp2邮件主体内容:ChecktheattachedIMPORTANTcomingfromme!(意为:请查收我在附件中给您发送的重要信息。)VBS/LoveLetter.F蠕虫邮件主题:DangerousVirusWarning邮件附件:virus_warning.jpg.vbsHTML文件:Urgent_virus_warning.htm系统驻留文件:MSKernel32.vbsWin32DLL.vbs下载文件:setup24.exe覆盖文件扩展名:jsjsecssws