爱虫病毒
蠕虫病毒
爱虫病毒(Vbs.loveletter),又称“我爱你”(I Love You)病毒,是一种蠕虫病毒,它与1999年的梅丽莎病毒非常相似。据称,这个病毒可以改写本地及网络硬盘上面的某些文件。用户机器染毒以后,邮件系统将会变慢,并可能导致整个网络系统崩溃,当时在全球更是造成了百亿美元的损失。
背景资料
由于是通过电子邮件系统传播,“我爱你”病毒在很短的时间内就袭击了全球无以数计的电脑,并且,从被感染的电脑系统来看,“爱虫”病毒的袭击对象并不是普通的计算机用户,而是那些具有高价值IT资源的电脑系统:美国国防部的多个安全部门、中央情报局英国国会等政府机构及多个跨国公司的电子邮件系统遭到袭击。
据称:“爱虫”病毒是迄今为止发现的传染速度最快而且传染面积最广的计算机病毒,它已对全球包括股票经纪、食品、媒体、汽车和技术公司以及大学甚至医院在内的众多机构造成了负面影响
已知变种
VBS/LoveLetter.A
邮件主题:ILOVEYOU(我爱你)
邮件附件名: LOVE-LETTER-FOR-YOU.TXT.vbs
HTML 文件: LOVE-LETTER-FOR-YOU.HTM
驻留文件: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
下载文件:WIN-BUGSFIX.exe
覆盖的文件扩展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
VBS/LoveLetter.B (又名 VeryFunny)
邮件主题:Very Funny(很有趣).vbs
邮件附件:Joke
HTML 文件: Very Funny.HTM
驻留文件:MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
下载文件:WIN-BUGSFIX.exe
覆盖的文件扩展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
邮件主体内容:
VBS/LoveLetter.C
邮件主题:Susitikim shi vakara kavos puodukui...
邮件附件:LOVE-LETTER-FOR-YOU.TXT.vbs
HTML文件: LOVE-LETTER-FOR-YOU.HTM
驻留文件: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
下载文件: WIN-BUGSFIX.exe
覆盖的文件扩展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
邮件主体内容:
kindly check the attached LOVELETTER coming from me.(意为:请查收我寄来的情书。)
VBS/LoveLetter.D
邮件主题:Mothers Day Order Confirmation(母亲节订单确认)
邮件附件:mothersday.vbs
HTML 文件:mothersday.HTM
驻留文件:MSKernel32.vbs Win32DLL.vbs
下载文件:无
覆盖文件扩展名:vbs vbe js jse css wsh sct hta ini bat mp3 mp2
邮件主体内容:
We have proceeded to charge your credit
card for the amount of $326.92 for the
mothers day diamond special.
We have attached a detailed invoice to
this email. Please print out the attachment
and keep it in a safe place.Thanks Again and
Have a Happy Mothers Day!
(意为:我们从您的信用卡中收取了$326.92,用于支付母亲节的特别钻石。我们在这封电子邮件中附上了详细的发票。请把附件打印出来,放在安全的地方。再次感谢您,祝您母亲节快乐!)
VBS/LoveLetter.E
邮件主题:Important! Read carefully !!(重要!仔细阅读!!)
邮件附件:IMPORTANT.TXT.vbs
HTML 文件: LOVE-LETTER-FOR-YOU.HTM
系统驻留文件: ESKernel32.vbs ES32DLL.vbs WinFAT32.exe
下载文件:WIN-BUGSFIX.exe
覆盖文件扩展名: vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
邮件主体内容:
Check the attached IMPORTANT coming from me!(意为:检查附件中来自我的重要信息!)
VBS/LoveLetter.F
邮件主题:Dangerous Virus Warning(危险病毒警告)
邮件附件:virus_warning.jpg.vbs
HTML 文件:Urgent_virus_warning.htm
系统驻留文件:MSKernel32.vbs Win32DLL.vbs
下载文件:setup24.exe
覆盖文件扩展名:js jse css wsh sct hta wav txt gif doc htm html xls jpg
jpeg mp3 mp2
邮件主体内容:
There is a dangerous virus circulating. Please click the attached picture to view it and learn to avoid it.
(意为:有一种危险的病毒在传播。请点击所附图片查看并学会避免。)
VBS/LoveLetter.G
邮件主题:Virus ALERT!!!(病毒警报!!!)
邮件附件:protect.vbs
HTML文件: protect.HTM
系统驻留文件: MSKernel32.vbs Win32DLL.vbs
下载文件:无
覆盖文件扩展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2 com bat
邮件主体内容:
Dear Symantec customer,
Symantec's AntiVirus Research Center began receiving reports regarding VBS.LoveLetter.A virus early morning on May 4, 2000, GMT. This worm appears to originate from the Asia Pacific region. Distribution of the virus is widespread and hundreds of thousands of machines are reported infected.
The VBS.LoveLetter.A is an Internet worm that uses Microsoft Outlook to E-mail itself as an attachment.
The subject line of the E-mail reads ILOVEYOU, with the attachment titled LOVE-LETTER-FOR-YOU.TXT.VBS. Once the attachment is opened, the virus replicates and sends an E-mail to all E-mail addresses listed in the address book. The virus also spreads itself via Internet relay chat and infects files on local and remote drives including files with extensions vbs, vbe, js, sje, css, wsh, sct, hta, jpg, jpeg, mp3, mp2.
Users should exercise caution when opening E-mails with this subject line, even if the E-mail is from someone they know, as that is how the virus is spread.
Symantec Corp. today announced the availability of the virus definition to detect, repair and protect users against the VBS.LoveLetter.A virus.
This definition is available now via Symantec's LiveUpdate and can also be downloaded from the following web sites:
Also as a quick solution Symantec Corp. Offers Visual Basic Script to protect your PC against this worm. (See attached.)
Note! When executed, this script will protect Your PC from being INFECTED by VBS.LoveLetter.A virus.
Symantec Corporation - a world leader in internet security technology.
邮件内容意为:
尊敬的赛门铁克客户:
赛门铁克的反病毒研究中心于2000年5月4日格林尼治时间清晨开始收到有关VBS.LoveLetter的报告。这种病毒似乎来自亚太地区。病毒的分布很广,据报道有几十万台机器被感染。
VBS.LoveLetter.A是一个Internet蠕虫,它使用Microsoft Outlook将自己作为附件发送电子邮件。
电子邮件的主题行是iloveu,附件名为LOVE-LETTER-FOR-YOU.TXT.VBS。一旦附件打开,病毒就会复制并向通讯簿中列出的所有电子邮件地址发送电子邮件。该病毒还通过互联网中继聊天传播,感染本地和远程驱动器上的文件,包括扩展名为vbs、vbe、js、sje、css、wsh、sct、hta、jpg、jpeg、mp3、mp2的文件。
用户在打开带有此主题行的电子邮件时应谨慎,即使电子邮件来自他们认识的人,因为这就是病毒的传播方式
赛门铁克公司今天宣布提供病毒定义,以检测、修复和保护用户免受VBS.LoveLetter.A病毒的侵害。
此定义现在可以通过Symantec的LiveUpdate获得,也可以从以下网站下载:
同时作为一个快速解决方案,赛门铁克公司(Symantec Corp.)提供了Visual Basic脚本来保护您的电脑免受此蠕虫的侵害。(见附件。)
注意!执行时,此脚本将保护您的电脑不被VBS.LoveLetter.A病毒感染
赛门铁克公司-互联网安全技术的世界领先者。
VBS/LoveLetter.H
邮件主题:Bewerbung Kreolina
邮件附件:BEWERBUNG.TXT.vbs
HTML 文件:BEWERBUNG.HTM
系统驻留文件:MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
下载文件:WIN-BUGSFIX.exe
覆盖文件扩展名: vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
邮件主体内容:
Sehr geehrte Damen und Herren!
(意为:女士们先生们!)
VBS/LoveLetter.I
邮件主题:Important! Read carefully !!(重要!仔细阅读!!)
附件: IMPORTANT.TXT.vbs
HTML文件:LOVE-LETTER-FOR-YOU.HTM
系统驻留文件:ESKernel32.vbs ES32DLL.vbs WinFAT32.exe
下载文件:WIN-BUGSFIX.exe
覆盖文件扩展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
邮件主体内容:
Check the attached IMPORTANT coming from me!
(意为:检查附件中来自我的重要信息!)
细节分析
VBS/LoveLetter.A 是一个基于 E-mail 的VBS(Visual Basic Script)蠕虫,它以一个电子邮件的附件到达邮箱(见图),邮件的主题是 ILOVEYOU(全大写,无空格)。
E-mail 的正文:
请尽快查收来自我的邮件附件的LOVELETTER。
E-mail 带有名为 LOVE-LETTER-FOR-YOU.TXT.vbs 的附件。.VBS扩展名是否显示,依赖于系统的设置。
如果您收到了一封与以上所述相符的E-mail,您不要打开邮件的附件,并立即删除E-mail。
LoveLetter蠕虫通过产生如上所述的E-mail 传播,蠕虫自身作为邮件的附件,且发送给在Outlook 通讯簿中的所有收件人。在大的机构中,产生的大量E-mail 可能会使电子邮件服务器超载,处于瘫痪状态。
LoveLetter蠕虫传播的目标是Windows 98, 缺省安装的Windows 2000Windows NT 4.0以及安装了Windows Scripting Host(WSH)引擎的Windows 95系统。蠕虫使用不同的名字将自身复制到多重子目录中:
LoveLetter蠕虫修改注册表信息,以便它在下次启动时能运行:
HKElkjhflkafkljhsajdkhfkajshfklafhlkajfhs
蠕虫还设置缺省的IE(Internet Explorer)主页,下载WIN_BUGFIX.exe 文件的一个副本,该文件看起来是一个“后门服务器”(backdoor serverFAT32
LoveLetter蠕虫搜索所有的子目录,并用自身的副本覆盖(overwrite)扩展名为JPG, VBS, JS, JSE, CSS, WSH, SCT, HTA, MP3和MP2 的所有文件,给无VBS(non-VBS)后缀的文件名添加VBS扩展名。如:一个名为的文件将变为。下一次染毒文件被点击或被激活,蠕虫将开始传播。
如果IRC(在线聊天系统)客户在系统中出现,LoveLetter蠕虫将产生一个HTML文件,将自身发送到IRC通道中。
预防措施
1.接到电子邮件后首先要做的是先仔细检查电子邮件的附件,不要点击任何带有后缀为.vbs文件或在附件上有像“屏幕移动”一样的图标的附件 。同时在计算机中要具有一种以上的实时防病毒软件并且经常更新病毒代码库,这样在下载邮件或打开附件时实时查毒。
2. 你也可以通过关闭你计算机中Windows Scripting Host的来防止病毒进入你的计算机 。(Windows Scripting Host编写脚本作用是用来帮助Windows程序自动执行。)使你的计算机免疫。
在Windows98中,方法是按开始菜单,选择设置选项中的控制面板。双击控制面板上的添加/删除程序 。选择Windows组件或Windows安装程序,双击附件选项,在列表中单击Windows Scripting Host清除复选框
ILOVEYOU ,Melissa和NewLove等病毒都需要借助于Windows Scripting Host来繁殖传播。但是很少有人在日常工作中需要Windows Scripting Host。因此去掉它不会对你生活学习造成影响,而且可以起到预防免疫的作用。
总结
爱虫病毒的厉害之处在于,它能够通过Microsoft Outlook自动向被感染者地址簿中所有邮件发送病毒,造成网络系统崩溃。此病毒与曾一度闹的人心惶惶的美丽杀手(即Melissa,梅丽莎病毒)病毒有类似的传播手段。相比较而言,此病毒的感染性更强,它可寻找本地驱动器和映射驱动器,并在系统所有目录和子目录中搜索可以感染的目标。这也是此病毒能够在美丽杀手爆发一年后,再次造成全球大面积网络瘫痪的一个重要原因。
冠群金辰认为21世纪网络的发展为企业和个人孕育着无限的商机,但是,伴随网络接踵而来的黑客大肆攻击网站事件、蠕虫病毒导致严重网络瘫痪事件,已经不断向人们敲响了网络安全的警钟。据冠群金辰对当前病毒传播手段的统计表明,企业当前面临的网络不安全因素主要源于邮件系统;而对个人用户构成最大、最多威胁的病毒也多通过邮件、网络进行传播,以“美丽杀手”“ZIP蠕虫”“爱虫”等大量通过互联网邮件系统自动的病毒呈现出爆发频率加快的态势。因此,作为一个反毒厂家目前要作到的就是从企业内部的每一个可能传播病毒的计算机和服务器进行防护,特别值得指出的是,针对邮件系统安全防护已经成为企业目前必须解决网络的安全问题
针对目前企业受到邮件病毒爆发的威胁的情况,冠群金辰推出了一系列专门针对企业用户的套装组合,在此套装组合中,冠群金辰公司将的KILL for Microsoft Exchange和KILL for Lotus Notes两种唯一通过公安部评测的邮件群件防护软件与KILL网络版的服务器端产品和客户端产品无缝集成在一起,为用户提供先进的病毒检测技术、通过对服务器、邮件服务器、客户端的3位一体全面防护,从而达到自动发现,自动报警,自动清除所有通过网络传播的病毒的功能,时时刻刻全方位保护用户的邮件及文件系统,确保用户不会受到“爱虫”一类病毒困扰。企业的网络将能够真正构架起安全的楼宇。
参考资料
计算机病毒知识.渭南市人民政府.2010-03-18
最新修订时间:2023-05-24 16:05
目录
概述
背景资料
已知变种
参考资料