发信人: graceh()
整理人: emil(2001-03-07 09:16:07), 站内信件
|
Iloveyou蠕虫是一个vbscript worm,它会通过email和irc的DCC向各方传送。
当他执行的时候,他先copy自己到windows的system目录:
- MSKernel32.vbs
- LOVE-LETTER-FOR-YOU.TXT.vbs
还有windows目录:
- Win32DLL.vbs
这时他会把自己加入注册表,当下次启动的时候会自动的启动,注册表键名如下 :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKer nel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServic es\Win32DLL
下一步它会取代internet Explorer的启动网址到制向一个新的网址下载一个可执 行的软件
WIN-BUGSFIX.exe,
他随机选择不同的URL
http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw 6587345gvs
df7679njbvYT/WIN-BUGSFIX.exe
http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe5 46786324hjk4jnHHGbv
bmKLJKjhkqj4w/WIN-BUGSFIX.exe
http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmP OhfgER67b3Vbvg
/WIN-BUGSFIX.exe
http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkhY UgqwerasdjhPhjasfdglkN
Bhbqwebmznxcbvnmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe
如果这个可执行文件被下载,worm也把他加入到了注册表。下次启动时执行,
那样后,这个worm建立一个html文件:LOVE-LETTER-FOR-YOU.HTM到windows的sy stem目录下,这个文件包含了worm,当用户使用mirc时,它会被送出。
它还利用Outlook发出信笺,信笺的信息如下:
Subject: ILOVEYOU
Body: kindly check the attached LOVELETTER coming from me.
Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs
这个病毒还搜寻特定的文件类型在所有的文件夹和所有的本地或远程驱动器,并 且把它自己的code写到他们上面,它将复写以下的一些文件类型:
".vbs", ".vbe", ".js", ".jse", ".css", ".wsh", ".sct", ".hta"
接下来,它还会使用同伴技术,混幺用户,期望他们执行含病毒码的文件,它搜 寻jpg, jpeg, mp3 ,mp2等等.举例:
有个用户产生了一个wo.jpg,它将会产生一个wo.jpg.vbs
此病毒在2000-5-4在全世界大规模的出现,他可能产自菲律宾,因为在代码的头 部有段信息:
rem barok -loveletter(vbe) <i hate go to school>
rem by: spyder / [email protected] / @GRAMMERSoft Group / Manila,Philip pines
预防的办法:不执行邮件附件的vbs代码,不接受IRC里的任何陌生人的DCC传送。 如果你有可以控制mail服务器,
可以通过配置阻止附件含有vbs代码的email,你也可以过滤掉所有MAILME@SUPER .NET.PH的信笺,或者通过http
proxy阻止下载WIN-BUGFIX.exe文件。
-- 有你的地方就有我
无论是天涯海角
我都会在你的身边
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.105.147.228]
|
|