愛蟲病毒介紹_大眾科普網

愛蟲病毒介紹

“愛蟲”病毒背景資料
2000年5月4日，一種名為“我愛你”的電腦病毒開始在全球各地迅速傳播。這個病毒是通過microsoftoutook電子郵件系統傳播的，郵件的主題為“iloveyou”，並包含一個附件。一旦在microsoftoutlook裡打開這個郵件，系統就會自動復制並向地址簿中的所有郵件電址發送這個病毒。
“我愛你”病毒，又稱“愛蟲”病毒，是一種蠕蟲病毒，它與1999年的梅麗莎病毒非常相似。據稱，這個病毒可以改寫本地及網絡硬盤上面的某些文件。用戶機器染毒以後，郵件系統將會變慢，並可能導致整個網絡系統崩潰。
由於是通過電子郵件系統傳播，“我愛你”病毒在很短的時間內就襲擊了全球無以數計的電腦，並且，從被感染的電腦系統來看，“愛蟲”病毒的襲擊對象並不是普通的計算機用戶，而是那些具有高價值it資源的電腦系統：美國國防部的多個安全部門、中央情報局、英國國會等政府機構及多個跨國公司的電子郵件系統遭到襲擊。
據稱：“愛蟲”病毒是迄今為止發現的傳染速度最快而且傳染面積最廣的計算機病毒，它已對全球包括股票經紀、食品、媒體、汽車和技術公司以及大學甚至醫院在內的眾多機構造成了負面影響。目前，“愛蟲”仍在迅速擴散之中，其危害性將繼續擴大。
[編輯本段]“愛蟲”又生變種
在瘋狂的“愛蟲”病毒被發現當天不久，冠群金辰的全球病毒監測網發現，該病毒為了誘惑更多的網絡用戶上當，現又生成另外一種變型病毒，帶有這種病毒的電子郵件主題詞中往往帶有“笑話”一詞，以引誘用戶打開郵件。預計，在未來幾天之內“我愛你”病毒還會生成更多種類的變型病毒。
此次被冠群金辰公司發現的這種新變型除了在電子郵件的主題詞中寫有“笑話”一詞以外，其附件中還帶有一個名為“特別可笑”的文件夾。為此，冠群金辰特提醒廣大網絡用戶千萬不要打開任何帶有上述標志的電子郵件並應立即將之刪除。同時，冠群金辰提醒計算機用戶要及時升級kill反病毒軟件，因為kill最新病毒庫版本已可查殺此病毒。
[編輯本段]“愛蟲”病毒技術細節分析
vbs/loveletter.a蠕蟲
vbs/loveletter.a蠕蟲的特征（見圖）
vbs/loveletter.a是一個基於e-mail的vbs（visualbasicscript）蠕蟲，它以一個電子郵件的附件到達您的郵箱(見圖)，郵件的主題是iloveyou（全大寫，無空格）。
e-mail的正文：
請盡快查收來自我的郵件附件的loveletter。
e-mail帶有名為love-letter-for-you.txt.vbs的附件。.vbs擴展名是否顯示，依賴於系統的設置。
如果您收到了一封與以上所述相符的e-mail，您不要打開郵件的附件，並立即刪除e-mail。
loveletter蠕蟲通過產生如上所述的e-mail傳播，蠕蟲自身作為郵件的附件，且發送給在outlook通訊簿中的所有收件人。在大的機構中，產生的大量e-mail可能會使電子郵件服務器超載，處於癱瘓狀態。
loveletter蠕蟲傳播的目標是windows98,缺省安裝的windows2000和windowsnt4.0以及安裝了windowsscriptinghost(wsh)引擎的windows95系統。蠕蟲使用不同的名字將自身復制到多重子目錄中：
在windows目錄中的文件名是win32dll.vbs，在\windows\system目錄中的文件名為mskernel32.vbs和love-letter-for-you.txt.vbs。
loveletter蠕蟲修改注冊表信息，以便它在下次啟動時能運行：
hkey_local_machine\software\microsoft\windows\currentversion\run\mskernel32=
c:\windows\system\mskernel32.vbs
hkey_local_machine\software\microsoft\windows\currentversion\runservices\win
32dll=c:\windows\win32dll.vbs
蠕蟲還設置缺省的ie（internetexplorer）主頁，下載win_bugfix.exe文件的一個副本，該文件看起來是一個“後門服務器”（backdoorserver）。該文件在web上真實的位置目前是關閉的。為了防止該站點再被訪問，不小心下載了可執行文件，冠群金辰公司建議您可能的話，在代理服務器阻塞如下urls：

http://www.skyinet.net/~young1s

http://www.skyinet.net/~angelcat

http://www.skyinet.net/~koichi

http://www.skyinet.net/~chu

可執行文件將被安裝和重命名，以便在啟動系統時也能運行：
hkey_local_machine\software\microsoft\windows\currentversion\run\winfat32=c:\windows\system\winfat32
loveletter蠕蟲搜索所有的子目錄，並用自身的副本覆蓋（overwrite）擴展名為jpg,vbs,js,jse,css,wsh,sct,hta,mp3和mp2的所有文件，給無vbs（non-vbs）後綴的文件名添加vbs擴展名。如：一個名為satisfaction.mp3的文件將變為satisfaction.mp3.vbs。下一次染毒文件被點擊或被激活，蠕蟲將開始傳播。
如果irc（在線聊天系統）客戶在系統中出現，loveletter蠕蟲將產生一個html文件，將自身發送到irc通道中。
[編輯本段]vbs/loveletter.a蠕蟲的檢測與清除
北京冠群金辰公司的kill11.16版本已經可以檢測vbs/loveletter.a蠕蟲的所有組成部分。要清除被感染的系統，必須刪除所有發現的帶毒文件，而且必須刪除以上提及的所有注冊表中的鍵值。
[編輯本段]vbs/loveletter.a蠕蟲家族
自從vbs/loveletter.a蠕蟲出現後，已經有幾個變種出現，下面是所有已知變種的特征描述。kill11.20版本已經包括了所有變種的檢測代碼，並加上loveletter蠕蟲家族的檢測代碼，以便可能檢測未來出現的變種。
[編輯本段]vbs/loveletter.a蠕蟲
郵件主題：iloveyou
郵件附件名：love-letter-for-you.txt.vbs
html文件：love-letter-for-you.htm
駐留文件：mskernel32.vbswin32dll.vbswinfat32.exe
下載文件：win-bugsfix.exe
覆蓋的文件擴展名：vbsvbejsjsecsswshscthtajpgjpegmp3mp2
郵件主體內容：
kindlychecktheattachedlovelettercomingfromme.（意為：請查收我用附件給您發送的loveletter）
[編輯本段]vbs/loveletter.b(又名veryfunny)蠕蟲
郵件主題：veryfunny.vbs
郵件附件：joke
html文件：veryfunny.htm
駐留文件：mskernel32.vbswin32dll.vbswinfat32.exe
下載文件：win-bugsfix.exe
覆蓋的文件擴展名：vbsvbejsjsecsswshscthtajpgjpegmp3mp2
郵件主體內容：
無
[編輯本段]vbs/loveletter.c蠕蟲
郵件主題：susitikimshivakarakavospuodukui...
郵件附件：love-letter-for-you.txt.vbs
html文件：love-letter-for-you.htm
駐留文件：mskernel32.vbswin32dll.vbswinfat32.exe
下載文件：win-bugsfix.exe
覆蓋的文件擴展名：vbsvbejsjsecsswshscthtajpgjpegmp3mp2
郵件主體內容：
kindlychecktheattachedlovelettercomingfromme.（意為：請查收我用附件給您發送的loveletter）
[編輯本段]vbs/loveletter.d蠕蟲
郵件主題：mothersdayorderconfirmation
郵件附件：mothersday.vbs
html文件：mothersday.htm
駐留文件：mskernel32.vbswin32dll.vbs
下載文件：無
覆蓋文件擴展名：vbsvbejsjsecsswshscthtainibatmp3mp2
郵件主體內容：
wehaveproceededtochargeyourcredit
cardfortheamountof$326.92forthe
mothersdaydiamondspecial.
wehaveattachedadetailedinvoiceto
thisemail.pleaseprintouttheattachment
andkeepitinasafeplace.thanksagainand
haveahappymothersday!

[email protected]

（意為：我們從您的信用卡中收取了$326.92，用於支付母親節的特別鑽石。詳細發票請見郵件附件，請將其打印出來，並保管在安全的地方。再次表示感謝，母親節快樂！）
[編輯本段]vbs/loveletter.e蠕蟲
郵件主題：important!readcarefully!!
郵件附件：important.txt.vbs
html文件：love-letter-for-you.htm
系統駐留文件：eskernel32.vbses32dll.vbswinfat32.exe
下載文件：win-bugsfix.exe
覆蓋文件擴展名：vbsvbejsjsecsswshscthtajpgjpegmp3mp2
郵件主體內容：
checktheattachedimportantcomingfromme!（意為：請查收我在附件中給您發送的重要信息。）
[編輯本段]vbs/loveletter.f蠕蟲
郵件主題：dangerousviruswarning
郵件附件：virus_warning.jpg.vbs
html文件：urgent_virus_warning.htm
系統駐留文件：mskernel32.vbswin32dll.vbs
下載文件：setup24.exe
覆蓋文件擴展名：jsjsecsswshscthtawavtxtgifdochtmhtmlxlsjpg
jpegmp3mp2
郵件主體內容：
thereisadangerousvirus
circulating.pleaseclickattachedpicturetoviewitandlearntoavoidit.（意為：危險病毒正在大肆傳播。請點擊查看附件中的圖畫，以

[1] [2] [3] 下一页