|
愛蟲病毒��,又稱“我愛你”病毒���,是一種蠕蟲病毒,它與1999年的梅麗莎病毒非常相似�����。據(jù)稱�,這個(gè)病毒可以改寫本地及網(wǎng)絡(luò)硬盤上面的某些文件。用戶機(jī)器染毒以后��,郵件系統(tǒng)將會變慢�,并可能導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)崩潰���。
2000年5月4日,一種名為“我愛你”的電腦病毒開始在全球各地迅速傳播����。這個(gè)病毒是通過Microsoft Outlook電子郵件系統(tǒng)傳播的,郵件的主題為“I LOVE YOU”����,并包含一個(gè)附件。一旦在Microsoft Outlook里打開這個(gè)郵件���,系統(tǒng)就會自動(dòng)復(fù)制并向地址簿中的所有郵件電址發(fā)送這個(gè)病毒���。
由于是通過電子郵件系統(tǒng)傳播,“我愛你”病毒在很短的時(shí)間內(nèi)就襲擊了全球無以數(shù)計(jì)的電腦���,并且�,從被感染的電腦系統(tǒng)來看�,“愛蟲”病毒的襲擊對象并不是普通的計(jì)算機(jī)用戶,而是那些具有高價(jià)值IT資源的電腦系統(tǒng):美國國防部的多個(gè)安全部門�����、中央情報(bào)局�、英國國會等政府機(jī)構(gòu)及多個(gè)跨國公司的電子郵件系統(tǒng)遭到襲擊。
據(jù)稱:“愛蟲”病毒是迄今為止發(fā)現(xiàn)的傳染速度最快而且傳染面積最廣的計(jì)算機(jī)病毒�,它已對全球包括股票經(jīng)紀(jì)、食品��、媒體��、汽車和技術(shù)公司以及大學(xué)甚至醫(yī)院在內(nèi)的眾多機(jī)構(gòu)造成了負(fù)面影響�。
在瘋狂的“愛蟲”病毒被發(fā)現(xiàn)當(dāng)天不久,冠群金辰的全球病毒監(jiān)測網(wǎng)發(fā)現(xiàn)�����,該病毒為了誘惑更多的網(wǎng)絡(luò)用戶上當(dāng)����,現(xiàn)又生成另外一種變型病毒,帶有這種病毒的電子郵件主題詞中往往帶有“笑話”一詞���,以引誘用戶打開郵件���。預(yù)計(jì),在未來幾天之內(nèi)“我愛你”病毒還會生成更多種類的變型病毒�����。
此次被冠群金辰公司發(fā)現(xiàn)的這種新變型除了在電子郵件的主題詞中寫有“笑話”一詞以外,其附件中還帶有一個(gè)名為“特別可笑”的文件夾���。為此�����,冠群金辰特提醒廣大網(wǎng)絡(luò)用戶千萬不要打開任何帶有上述標(biāo)志的電子郵件并應(yīng)立即將之刪除�����。同時(shí)���,冠群金辰提醒計(jì)算機(jī)用戶要及時(shí)升級KILL反病毒軟件,因?yàn)镵ILL最新病毒庫版本已可查殺此病毒�。
VBS/LoveLetter.A 蠕蟲的檢測與清除
北京冠群金辰公司的KILL11.16版本已經(jīng)可以檢測 VBS/LoveLetter.A蠕蟲的所有組成部分。要清除被感染的系統(tǒng)����,必須刪除所有發(fā)現(xiàn)的帶毒文件,而且必須刪除以上提及的所有注冊表中的鍵值����。
VBS/LoveLetter.A 蠕蟲家族
自從VBS/LoveLetter.A蠕蟲出現(xiàn)后���,已經(jīng)有幾個(gè)變種出現(xiàn),下面是所有已知變種的特征描述���。KILL11.20版本已經(jīng)包括了所有變種的檢測代碼,并加上LoveLetter蠕蟲家族的檢測代碼�����,以便可能檢測未來出現(xiàn)的變種�����。
VBS/LoveLetter.A 蠕蟲
郵件主題:ILOVEYOU
郵件附件名: LOVE-LETTER-FOR-YOU.TXT.vbs
HTML 文件: LOVE-LETTER-FOR-YOU.HTM
駐留文件: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
下載文件:WIN-BUGSFIX.exe
覆蓋的文件擴(kuò)展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
VBS/LoveLetter.B (又名 VeryFunny) 蠕蟲
郵件主題:Very Funny.vbs
郵件附件:Joke
HTML 文件: Very Funny.HTM
駐留文件:MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
下載文件:WIN-BUGSFIX.exe
覆蓋的文件擴(kuò)展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
郵件主體內(nèi)容:
無
VBS/LoveLetter.C 蠕蟲
郵件主題:Susitikim shi vakara kavos puodukui...
郵件附件:LOVE-LETTER-FOR-YOU.TXT.vbs
HTML文件: LOVE-LETTER-FOR-YOU.HTM
駐留文件: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
下載文件: WIN-BUGSFIX.exe
覆蓋的文件擴(kuò)展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
郵件主體內(nèi)容:
kindly check the attached LOVELETTER coming from me.(意為:請查收我用附件給您發(fā)送的情書)
VBS/LoveLetter.D 蠕蟲
郵件主題:Mothers Day Order Confirmation
郵件附件: mothersday.vbs
HTML 文件: mothersday.HTM
駐留文件:MSKernel32.vbs Win32DLL.vbs
下載文件:無
覆蓋文件擴(kuò)展名:vbs vbe js jse css wsh sct hta ini bat mp3 mp2
郵件主體內(nèi)容:
We have proceeded to charge your credit
card for the amount of $326.92 for the
mothers day diamond special.
We have attached a detailed invoice to
this email. Please print out the attachment
and keep it in a safe place.Thanks Again and
Have a Happy Mothers Day!
(意為:我們從您的信用卡中收取了$326.92�����,用于支付母親節(jié)的特別鉆石���。詳細(xì)發(fā)票請見郵件附件����,請將其打印出來,并保管在安全的地方��。再次表示感謝����,母親節(jié)快樂!)
VBS/LoveLetter.E 蠕蟲
郵件主題: Important ! Read carefully !!
郵件附件:IMPORTANT.TXT.vbs
HTML 文件: LOVE-LETTER-FOR-YOU.HTM
系統(tǒng)駐留文件: ESKernel32.vbs ES32DLL.vbs WinFAT32.exe
下載文件:WIN-BUGSFIX.exe
覆蓋文件擴(kuò)展名: vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
郵件主體內(nèi)容:
Check the attached IMPORTANT coming from me !(意為:請查收我在附件中給您發(fā)送的重要信息���。)
VBS/LoveLetter.F 蠕蟲
郵件主題:Dangerous Virus Warning
郵件附件:virus_warning.jpg.vbs
HTML 文件:Urgent_virus_warning.htm
系統(tǒng)駐留文件:MSKernel32.vbs Win32DLL.vbs
下載文件:setup24.exe
覆蓋文件擴(kuò)展名:js jse css wsh sct hta wav txt gif doc htm html xls jpg
jpeg mp3 mp2
郵件主體內(nèi)容:
There is a dangerous virus
circulating. Please click attached picture to view it and learn to avoid it.(意為:危險(xiǎn)病毒正在大肆傳播�����。請點(diǎn)擊查看附件中的圖畫��,以避免感染���。)
VBS/LoveLetter.G 蠕蟲
郵件主題:Virus ALERT!!!
郵件附件:protect.vbs
HTML文件: protect.HTM
系統(tǒng)駐留文件: MSKernel32.vbs Win32DLL.vbs
下載文件:無
覆蓋文件擴(kuò)展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2 com bat
郵件主體內(nèi)容:
Dear Symantec customer,
Symantec's AntiVirus Research Center began receiving reports regarding VBS.LoveLetter.A virus early morning on May 4, 2000 GMT.This worm appears to originate from the Asia Pacific region. Distribution of the virus is widespread and hundreds of thousands of machines are reported infected.
The VBS.LoveLetter.A is an Internet worm that uses Microsoft Outlook to e-mail itself as an attachment.
The subject line of the e-mail reads ILOVEYOU, with the attachment titled LOVE-LETTER-FOR-YOU.TXT.VBS. Once the attachment is opened, the virus replicates and sends an e-mail to all e-mail addresses listed in the address book. The virus also spreads itself via Internet relay chat and infects files on local and remote drives including files with extensions vbs, vbe, js, sje, css, wsh, sct, hta, jpg, jpeg, mp3, mp2.
Users should exercise caution when opening e-mails with this subject line, even if the e-mail is from someone they know, as that is how the virus is spread.
Symantec Corp. today announced availability of the virus definition to detect, repair and protect users against the VBS.LoveLetter.A virus.
This definition is available now via Symantec's LiveUpdate and can also be downloaded from the following web sites:
" Also as a quick solution Symantec Corp. Offers Visual Basic Script to protect your PC against
this worm. (See attached.)
Note! When executed, this script will protect Your PC from being INFECTED by VBS.LoveLetter.A virus.
Symantec Corporation - a world leader in internet security technology.
郵件內(nèi)容意為:
親愛的賽門鐵克用戶:
格林威治時(shí)間2000年5月4日早晨,賽門鐵克的反病毒研究中心(AntiVirus Research Center)收到許多關(guān)于VBS.LoveLetter.A病毒的報(bào)告��。這一病毒來自亞太地區(qū)�����,它正廣泛傳播����,已有數(shù)十萬臺計(jì)算報(bào)告感染該病毒�。
VBS.LoveLetter.A是一種Internet病毒��,它把自己作為Microsoft Outlook電子郵件的附件進(jìn)行傳播���。
郵件主題為“ILOVEYOU”�,附件為LOVE-LETTER-FOR-YOU.TXT.VBS����。附件一旦打開���,該病毒即復(fù)制自身���,通過電子郵件發(fā)送給地址薄中的所有人。該病毒還可通過Internet聊天傳播��,并感染本地/遠(yuǎn)程驅(qū)動(dòng)器上擴(kuò)展名為vbs, vbe, js, sje, css, wsh, sct, hta, jpg, jpeg, mp3, mp2的文件�����。
用戶在打開這一主題的電子郵件時(shí)務(wù)必提高警惕���,即便這封電子郵件來自他們所認(rèn)識的人��,這正是這一病毒得以大肆傳播的原因�。
賽門鐵克公司日前發(fā)布病毒特征庫,以檢測��、修復(fù)�、防護(hù)VBS.LoveLetter.A病毒。
用戶可通過賽門鐵克的LiveUpdate獲得最新病毒特征庫�,也可從網(wǎng)站下載。
賽門鐵克公司還提供了快捷的解決方案���,請見附件的Visual Basic Script���。
注:當(dāng)執(zhí)行時(shí),該程序?qū)⒈Wo(hù)您的機(jī)器免遭VBS.LoveLetter.A virus感染���。
VBS/LoveLetter.H 蠕蟲
郵件主題:Bewerbung Kreolina
郵件附件:BEWERBUNG.TXT.vbs
HTML 文件:BEWERBUNG.HTM
系統(tǒng)駐留文件:MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
下載文件:WIN-BUGSFIX.exe
覆蓋文件擴(kuò)展名: vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
郵件主體內(nèi)容:
Sehr geehrte Damen und Herren!
Note: German, pretending to be a resume.(意為:注:德文�����,冒充簡歷)
VBS/LoveLetter.I 蠕蟲
郵件主題:Important ! Read carefully !!
附件: IMPORTANT.TXT.vbs
HTML文件:LOVE-LETTER-FOR-YOU.HTM
系統(tǒng)駐留文件:ESKernel32.vbs ES32DLL.vbs WinFAT32.exe
下載文件:WIN-BUGSFIX.exe
覆蓋文件擴(kuò)展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
郵件主體內(nèi)容:
Check the attached IMPORTANT coming from me !
Note: Internal differences to the E variant in the code.
(意為:請查收我在附件中給您發(fā)送的重要信息�。
注:在代碼上與E變種的內(nèi)部有所不同�����。)
細(xì)節(jié)分析編輯
VBS/LoveLetter.A蠕蟲
VBS/LoveLetter.A 蠕蟲的特征(見圖)
VBS/LoveLetter.A 是一個(gè)基于 e-mail 的VBS(Visual Basic Script)蠕蟲,它以一個(gè)電子郵件的附件到達(dá)您的郵箱(見圖)�����,郵件的主題是 ILOVEYOU(全大寫���,無空格)�����。
e-mail 的正文:
請盡快查收來自我的郵件附件的LOVELETTER。
e-mail 帶有名為 LOVE-LETTER-FOR-YOU.TXT.vbs 的附件�����。.VBS擴(kuò)展名是否顯示�,依賴于系統(tǒng)的設(shè)置。
如果您收到了一封與以上所述相符的e-mail�����,您不要打開郵件的附件����,并立即刪除e-mail�。
LoveLetter蠕蟲通過產(chǎn)生如上所述的e-mail 傳播�����,蠕蟲自身作為郵件的附件�,且發(fā)送給在Outlook 通訊簿中的所有收件人。在大的機(jī)構(gòu)中�,產(chǎn)生的大量e-mail 可能會使電子郵件服務(wù)器超載,處于癱瘓狀態(tài)���。
LoveLetter蠕蟲傳播的目標(biāo)是Windows 98, 缺省安裝的Windows 2000 和Windows NT 4.0以及安裝了Windows Scripting Host(WSH)引擎的Windows 95系統(tǒng)���。蠕蟲使用不同的名字將自身復(fù)制到多重子目錄中:
在Windows目錄中的文件名是Win32DLL.vbs,在\Windows\system目錄中的文件名為MSKernel32.vbs 和 LOVE-LETTER-FOR-YOU.TXT.vbs�。
LoveLetter蠕蟲修改注冊表信息,以便它在下次啟動(dòng)時(shí)能運(yùn)行:
HKElkjhflkafkljhsajdkhfkajshfklafhlkajfhs
C:\WINDOWS\SYSTEM\MSKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win
32DLL=C:\WINDOWS\Win32DLL.vbs
蠕蟲還設(shè)置缺省的IE(Internet Explorer)主頁�,下載WIN_BUGFIX.exe 文件的一個(gè)副本,該文件看起來是一個(gè)“后門服務(wù)器”(backdoor server)�����。該文件在Web上真實(shí)的位置目前是關(guān)閉的�����。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinFAT32=C:\WINDOWS\SYSTEM\WinFAT32
LoveLetter蠕蟲搜索所有的子目錄�,并用自身的副本覆蓋(overwrite)擴(kuò)展名為JPG, VBS, JS, JSE, CSS, WSH, SCT, HTA, MP3和MP2 的所有文件,給無VBS(non-VBS)后綴的文件名添加VBS擴(kuò)展名��。如:一個(gè)名為的文件將變?yōu)�。下一次染毒文件被點(diǎn)擊或被激活,蠕蟲將開始傳播��。
如果IRC(在線聊天系統(tǒng))客戶在系統(tǒng)中出現(xiàn)���,LoveLetter蠕蟲將產(chǎn)生一個(gè)HTML文件�,將自身發(fā)送到IRC通道中����。
|
