请输入您要查询的百科知识:

 

词条 爱虫病毒
释义

2000年5月4日,一种名为“我爱你”的电脑病毒开始在全球各地迅速传播。这个病毒是通过Microsoft Out ook电子邮件系统传播的,邮件的主题为“I LOVE YOU”,并包含一个附件。一旦在Microsoft Ou tlook里打开这个邮件,系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。 “我爱你”病毒,又称“爱虫”病毒,是一种蠕虫病毒,它与1999年的梅丽莎病毒非常相似。据称,这个病毒可以改写本地及网络硬盘上面的某些文件。用户机器染毒以后,邮件系统将会变慢,并可能导致整个网络系统崩溃。

“爱虫”病毒背景资料

由于是通过电子邮件系统传播,“我爱你”病毒在很短的时间内就袭击了全球无以数计的电脑,并且,从被感染的电脑系统来看,“爱虫”病毒的袭击对象并不是普通的计算机用户,而是那些具有高价值IT资源的电脑系统:美国国防部的多个安全部门、中央情报局、英国国会等政府机构及多个跨国公司的电子邮件系统遭到袭击。

据称:“爱虫”病毒是迄今为止发现的传染速度最快而且传染面积最广的计算机病毒,它已对全球包括股票经纪、食品、媒体、汽车和技术公司以及大学甚至医院在内的众多机构造成了负面影响。目前,“爱虫”仍在迅速扩散之中,其危害性将继续扩大。

“爱虫”又生变种

在疯狂的“爱虫”病毒被发现当天不久,冠群金辰的全球病毒监测网发现,该病毒为了诱惑更多的网络用户上当,现又生成另外一种变型病毒,带有这种病毒的电子邮件主题词中往往带有“笑话”一词,以引诱用户打开邮件。预计,在未来几天之内“我爱你”病毒还会生成更多种类的变型病毒。

此次被冠群金辰公司发现的这种新变型除了在电子邮件的主题词中写有“笑话”一词以外,其附件中还带有一个名为“特别可笑”的文件夹。为此,冠群金辰特提醒广大网络用户千万不要打开任何带有上述标志的电子邮件并应立即将之删除。同时,冠群金辰提醒计算机用户要及时升级KILL反病毒软件,因为KILL最新病毒库版本已可查杀此病毒。

“爱虫”病毒技术细节分析

VBS/LoveLetter.A 蠕虫

VBS/LoveLetter.A 蠕虫的特征(见图)

VBS/LoveLetter.A 是一个基于 e-mail 的VBS(Visual Basic Script)蠕虫,它以一个电子邮件的附件到达您的邮箱(见图),邮件的主题是 ILOVEYOU(全大写,无空格)。

e-mail 的正文:

请尽快查收来自我的邮件附件的LOVELETTER。

e-mail 带有名为 LOVE-LETTER-FOR-YOU.TXT.vbs 的附件。.VBS扩展名是否显示,依赖于系统的设置。

如果您收到了一封与以上所述相符的e-mail,您不要打开邮件的附件,并立即删除e-mail。

LoveLetter 蠕虫通过产生如上所述的e-mail 传播,蠕虫自身作为邮件的附件,且发送给在Outlook 通讯簿中的所有收件人。在大的机构中,产生的大量e-mail 可能会使电子邮件服务器超载,处于瘫痪状态。

LoveLetter 蠕虫传播的目标是Windows 98, 缺省安装的Windows 2000 和Windows NT 4.0 以及安装了Windows Scripting Host(WSH)引擎的Windows 95系统。蠕虫使用不同的名字将自身复制到多重子目录中:

在Windows目录中的文件名是Win32DLL.vbs,在\\Windows\\system目录中的文件名为MSKernel32.vbs 和 LOVE-LETTER-FOR-YOU.TXT.vbs。

LoveLetter 蠕虫修改注册表信息,以便它在下次启动时能运行:

HKElkjhflkafkljhsajdkhfkajshfklafhlkajfhs

C:\\WINDOWS\\SYSTEM\\MSKernel32.vbs

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\Win

32DLL=C:\\WINDOWS\\Win32DLL.vbs

蠕虫还设置缺省的IE(Internet Explorer)主页,下载WIN_BUGFIX.exe 文件的一个副本,该文件看起来是一个“后门服务器”(backdoor server)。该文件在Web上真实的位置目前是关闭的。 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\WinFAT32=C:\\WINDOWS\\SYSTEM\\WinFAT32

LoveLetter 蠕虫搜索所有的子目录,并用自身的副本覆盖(overwrite)扩展名为JPG, VBS, JS, JSE, CSS, WSH, SCT, HTA, MP3和MP2 的所有文件,给无VBS(non-VBS)后缀的文件名添加VBS扩展名。如:一个名为的文件将变为。下一次染毒文件被点击或被激活,蠕虫将开始传播。

如果IRC(在线聊天系统)客户在系统中出现,LoveLetter 蠕虫将产生一个HTML文件,将自身发送到IRC通道中。

VBS/LoveLetter.A 蠕虫的检测与清除

北京冠群金辰公司的KILL11.16版本已经可以检测 VBS/LoveLetter.A 蠕虫的所有组成部分。要清除被感染的系统,必须删除所有发现的带毒文件,而且必须删除以上提及的所有注册表中的键值。

VBS/LoveLetter.A 蠕虫家族

自从VBS/LoveLetter.A 蠕虫出现后,已经有几个变种出现,下面是所有已知变种的特征描述。KILL11.20版本已经包括了所有变种的检测代码,并加上LoveLetter 蠕虫家族的检测代码,以便可能检测未来出现的变种。

VBS/LoveLetter.A 蠕虫

邮件主题:ILOVEYOU

邮件附件名: LOVE-LETTER-FOR-YOU.TXT.vbs

HTML 文件: LOVE-LETTER-FOR-YOU.HTM

驻留文件: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe

下载文件:WIN-BUGSFIX.exe

覆盖的文件扩展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2

邮件主体内容:

kindly check the attached LOVELETTER coming from me.(意为:请查收我用附件给您发送的LOVELETTER)

VBS/LoveLetter.B (又名 VeryFunny) 蠕虫

邮件主题:Very Funny.vbs

邮件附件:Joke

HTML 文件: Very Funny.HTM

驻留文件:MSKernel32.vbs Win32DLL.vbs WinFAT32.exe

下载文件:WIN-BUGSFIX.exe

覆盖的文件扩展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2

邮件主体内容:

VBS/LoveLetter.C 蠕虫

邮件主题:Susitikim shi vakara kavos puodukui...

邮件附件:LOVE-LETTER-FOR-YOU.TXT.vbs

HTML文件: LOVE-LETTER-FOR-YOU.HTM

驻留文件: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe

下载文件: WIN-BUGSFIX.exe

覆盖的文件扩展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2

邮件主体内容:

kindly check the attached LOVELETTER coming from me.(意为:请查收我用附件给您发送的LOVELETTER)

VBS/LoveLetter.D 蠕虫

邮件主题:Mothers Day Order Confirmation

邮件附件: mothersday.vbs

HTML 文件: mothersday.HTM

驻留文件:MSKernel32.vbs Win32DLL.vbs

下载文件:无

覆盖文件扩展名:vbs vbe js jse css wsh sct hta ini bat mp3 mp2

邮件主体内容:

We have proceeded to charge your credit

card for the amount of $326.92 for the

mothers day diamond special.

We have attached a detailed invoice to

this email. Please print out the attachment

and keep it in a safe place.Thanks Again and

Have a Happy Mothers Day!

(意为:我们从您的信用卡中收取了$326.92,用于支付母亲节的特别钻石。详细发票请见邮件附件,请将其打印出来,并保管在安全的地方。再次表示感谢,母亲节快乐!)

VBS/LoveLetter.E 蠕虫

邮件主题: Important ! Read carefully !!

邮件附件:IMPORTANT.TXT.vbs

HTML 文件: LOVE-LETTER-FOR-YOU.HTM

系统驻留文件: ESKernel32.vbs ES32DLL.vbs WinFAT32.exe

下载文件:WIN-BUGSFIX.exe

覆盖文件扩展名: vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2

邮件主体内容:

Check the attached IMPORTANT coming from me !(意为:请查收我在附件中给您发送的重要信息。)

VBS/LoveLetter.F 蠕虫

邮件主题:Dangerous Virus Warning

邮件附件:virus_warning.jpg.vbs

HTML 文件:Urgent_virus_warning.htm

系统驻留文件:MSKernel32.vbs Win32DLL.vbs

下载文件:setup24.exe

覆盖文件扩展名:js jse css wsh sct hta wav txt gif doc htm html xls jpg

jpeg mp3 mp2

邮件主体内容:

There is a dangerous virus

circulating. Please click attached picture to view it and learn to avoid it.(意为:危险病毒正在大肆传播。请点击查看附件中的图画,以避免感染。)

VBS/LoveLetter.G 蠕虫

邮件主题:Virus ALERT!!!

邮件附件:protect.vbs

HTML文件: protect.HTM

系统驻留文件: MSKernel32.vbs Win32DLL.vbs

下载文件:无

覆盖文件扩展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2 com bat

邮件主体内容:

Dear Symantec customer,

Symantec's AntiVirus Research Center began receiving reports regarding VBS.LoveLetter.A virus early morning on May 4, 2000 GMT.This worm appears to originate from the Asia Pacific region. Distribution of the virus is widespread and hundreds of thousands of machines are reported infected.

The VBS.LoveLetter.A is an Internet worm that uses Microsoft Outlook to e-mail itself as an attachment.

The subject line of the e-mail reads ILOVEYOU, with the attachment titled LOVE-LETTER-FOR-YOU.TXT.VBS. Once the attachment is opened, the virus replicates and sends an e-mail to all e-mail addresses listed in the address book. The virus also spreads itself via Internet relay chat and infects files on local and remote drives including files with extensions vbs, vbe, js, sje, css, wsh, sct, hta, jpg, jpeg, mp3, mp2.

Users should exercise caution when opening e-mails with this subject line, even if the e-mail is from someone they know, as that is how the virus is spread.

Symantec Corp. today announced availability of the virus definition to detect, repair and protect users against the VBS.LoveLetter.A virus.

This definition is available now via Symantec's LiveUpdate and can also be downloaded from the following web sites:

" Also as a quick solution Symantec Corp. Offers Visual Basic Script to protect your PC against

this worm. (See attached.)

Note! When executed, this script will protect Your PC from being INFECTED by VBS.LoveLetter.A virus.

Symantec Corporation - a world leader in internet security technology.

邮件内容意为:

亲爱的赛门铁克用户:

格林威治时间2000年5月4日早晨,赛门铁克的反病毒研究中心(AntiVirus Research Center)收到许多关于VBS.LoveLetter.A病毒的报告。这一病毒来自亚太地区,它正广泛传播,已有数十万台计算报告感染该病毒。

VBS.LoveLetter.A是一种Internet病毒,它把自己作为Microsoft Outlook电子邮件的附件进行传播。

邮件主题为“ILOVEYOU”,附件为LOVE-LETTER-FOR-YOU.TXT.VBS。附件一旦打开,该病毒即复制自身,通过电子邮件发送给地址薄中的所有人。该病毒还可通过Internet聊天传播,并感染本地/远程驱动器上扩展名为vbs, vbe, js, sje, css, wsh, sct, hta, jpg, jpeg, mp3, mp2的文件。

用户在打开这一主题的电子邮件时务必提高警惕,即便这封电子邮件来自他们所认识的人,这正是这一病毒得以大肆传播的原因。

赛门铁克公司日前发布病毒特征库,以检测、修复、防护VBS.LoveLetter.A病毒。

用户可通过赛门铁克的LiveUpdate获得最新病毒特征库,也可从网站下载。

赛门铁克公司还提供了快捷的解决方案,请见附件的Visual Basic Script。

注:当执行时,该程序将保护您的机器免遭VBS.LoveLetter.A virus感染。

VBS/LoveLetter.H 蠕虫

邮件主题:Bewerbung Kreolina

邮件附件:BEWERBUNG.TXT.vbs

HTML 文件:BEWERBUNG.HTM

系统驻留文件:MSKernel32.vbs Win32DLL.vbs WinFAT32.exe

下载文件:WIN-BUGSFIX.exe

覆盖文件扩展名: vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2

邮件主体内容:

Sehr geehrte Damen und Herren!

Note: German, pretending to be a resume.(意为:注:德文,冒充简历)

VBS/LoveLetter.I 蠕虫

邮件主题:Important ! Read carefully !!

附件: IMPORTANT.TXT.vbs

HTML文件:LOVE-LETTER-FOR-YOU.HTM

系统驻留文件:ESKernel32.vbs ES32DLL.vbs WinFAT32.exe

下载文件:WIN-BUGSFIX.exe

覆盖文件扩展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2

邮件主体内容:

Check the attached IMPORTANT coming from me !

Note: Internal differences to the E variant in the code.

(意为:请查收我在附件中给您发送的重要信息。

注:在代码上与E变种的内部有所不同。)

预防

爱虫病毒的厉害之处在于,它能够通过Microsoft Outlook自动向被感染者地址簿中所有邮件发送病毒,造成网络系统崩溃。此病毒与去年曾一度闹的人心惶惶的美丽杀手病毒有类似的传播手段。相比较而言,此病毒的感染性更强,它可寻找本地驱动器和映射驱动器,并在系统所有目录和子目录中搜索可以感染的目标。这也是此病毒能够在美丽杀手爆发一年后,再次造成全球大面积网络瘫痪的一个重要原因。

冠群金辰认为21世纪网络的发展为企业和个人孕育着无限的商机,但是,伴随网络接踵而来的黑客大肆攻击网站事件、蠕虫病毒导致严重网络瘫痪事件,已经不断向人们敲响了网络安全的警钟。据冠群金辰对当前病毒传播手段的统计表明,企业当前面临的网络不安全因素主要源于邮件系统;而对个人用户构成最大、最多威胁的病毒也多通过邮件、网络进行传播,以“美丽杀手”“ZIP蠕虫”“爱虫”等大量通过互联网邮件系统自动的病毒呈现出爆发频率加快的态势。因此,作为一个反毒厂家目前要作到的就是从企业内部的每一个可能传播病毒的计算机和服务器进行防护,特别值得指出的是,针对邮件系统的安全防护已经成为企业目前必须解决网络的安全问题。并且企业级的网络安全产品必须具备优秀先进的实时防护技术,全平台防护技术,同时安全产品应针对病毒、蠕虫这些频繁出现的不安全因素提供病毒快速捕捉及病毒库升级功能,即具备全球病毒监测及全国服务网的能力。

针对目前企业受到邮件病毒爆发的威胁的情况,冠群金辰推出了一系列专门针对企业用户的套装组合,在此套装组合中,冠群金辰公司将的KILL for Microsoft Exchange和KILL for Lotus Notes两种唯一通过公安部评测的邮件群件防护软件与KILL网络版的服务器端产品和客户端产品无缝集成在一起,为用户提供先进的病毒检测技术、通过对服务器、邮件服务器、客户端的3位一体全面防护,从而达到自动发现,自动报警,自动清除所有通过网络传播的病毒的功能,时时刻刻全方位保护用户的邮件及文件系统,确保用户不会受到“爱虫”一类病毒困扰。企业的网络将能够真正构架起安全的楼宇。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 17:15:52