病毒简介

病毒行为

病毒简介

病毒别名：

处理时间：2000-05-04

威胁级别：★★

中文名称：爱虫/我爱你

病毒类型：VBS病毒

影响系统：Win9x / WinNT

病毒行为

VBS.LoveLetter是一个基于 e-mail 的VBS（Visual Basic Script）脚本病毒。通过Microsoft Outlook电子邮件系统传播，邮件的主题为"I LOVE YOU"，并包含一个附件。一旦在Microsoft Outlook里打开这个邮件，系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。它可以改写本地及网络硬盘上面的某些文件。用户机器染毒以后，邮件系统将会变慢，并可能导致整个网络系统崩溃。

1.该病毒通过产生如下所述的e-mail 传播，病毒自身作为邮件的附件，且发送给在Outlook讯簿中的所有收件人。

e-mail 的主题：ILOVEYOU

e-mail 的正文：请尽快查收来自我的邮件附件的LOVELETTER

e-mail 的附件：LOVE-LETTER-FOR-YOU.TXT.vbs （其中.VBS扩展名是否显示，依赖于系统的设置）

（注：不同变种有所变化）

在企业的网络中，病毒产生的大量e-mail可能会使电子邮件服务器超载，处于瘫痪状态。

2.该病毒传播的目标是Windows 98，缺省安装的Windows 2000 和Windows NT 4.0 以及安装了Windows Scripting Host(WSH)引擎的Windows 95系统。蠕虫使用不同的名字将自身复制到多重子目录中：

%SystemRoot%\\Win32DLL.vbs

%System%\\MSKernel32.vbs

%System%\\LOVE-LETTER-FOR-YOU.TXT.vbs

3.病毒修改注册表信息，以便它在下次启动时能运行：

在注册表的主键：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

中添加如下键值：

"MSKernel32"="%system%\\MSKernel32.vbs"

在注册表的主键：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices

中添加如下键值：

"Win32DLL"="%system%\\Win32DLL.vbs"

4.病毒修改IE的缺省（Internet Explorer）主页，从上面下载名为WIN_BUGFIX.exe的后门程序。该文件在Web上真实的位置目前是关闭的。

病毒还会在注册表的主键：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

中添加键值：

"WIN-BUGSFIX" = "WIN-BUGSFIX.exe"

这样当windows下次重新后，该后门程序得以运行，并将自身拷贝为%System%\\WINFAT32.EXE。该木马运行后病毒会将IE缺省主页改为空白页（about:blank）。

该后门程序实际实际上是一个盗号木马。它获取本地机器名，IP地址，网络登陆帐号和密码, RAS信息等等，然后发送邮件给木马使用者，例如"mailme@super.net.ph", 主题为"Barok... email.passwords.sender.trojan"。

5.病毒搜索所有的子目录，并用自身的副本覆盖（overwrite）扩展名为JPG，VBS，JS，JSE，CSS，WSH，SCT，HTA，MP3和MP2 的所有文件，给无VBS（non-VBS）后缀的文件名添加VBS扩展名。如：一个名为Satisfaction.MP3的文件将变为Satisfaction.MP3.VBS。下一次染毒文件被点击或被激活，病毒将开始传播。

6.如果IRC（在线聊天系统）客户在系统中出现，病毒将产生一个HTML文件，将自身发送到IRC通道中。