发信人: zhuyansnaix()
整理人: mkwolf(2000-05-06 10:13:35), 站内信件
|
I-Worm.LoveLetter Edited by SnaiX <[email protected]>
I-Worm.LoveLetter是一个Visual BasicScript的正在被通过Internet经一个Mic rosoftOutlook的电子邮件作为一
个连锁信件被传播的蠕虫。该蠕虫使用Outlook e-mail软件被传播。
I-Worm.LoveLetter也是一个覆盖类型的Visual BasicScript病毒,并且它也可以 使用mIRC的客户端程序传播自己。
技术资料:
当该蠕虫被执行的时候,它首先把自己复制到Windows\System目录下,文件名为 :
MSKernel32.vbs
LOVE-LETTER-FOR-YOU.TXT.vbs
在Windows目录下为:
Win32DLL.vbs
之后,它添加几个注册表键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKer nel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServic es\Win32DLL
该蠕虫用一个叫做“WIN-BUGSFIX.exe”的可执行程序取代了Internet Explorer 的主页链接。并且创建一个HTML文
件“LOVE-LETTER-FOR-YOU.HTM”到Windows\System目录下。
I-Worm.LoveLetter会使用Outlook把自己的副本发给每一个在地址簿的用户。
该信件会这样写:
主题: ILOVEYOU
内容: kindly check the attached LOVELETTER coming from me.
附件: LOVE-LETTER-FOR-YOU.TXT.vbs
该蠕虫之后在本地和远程驱动器上寻找有 .jpeg, .mp3, .mp2,.jpg .js, .jse, .css, .wsh, .sct和 .hta扩展
名的文件并且用蠕虫自己覆盖它们。一旦覆盖后,该蠕虫更改被覆盖文件的扩展 名为.vbs或vbe。
SnaiX注:
另据悉:该蠕虫已经发现了4种变种。
-- ※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.99.58.76]
|
|