榜单搜索
爱虫病毒(Vbs.loveletter),又称“我爱你”(ILoveYou)病毒,是一种蠕虫病毒,它与1999年的梅丽莎病毒非常相似。据称,这个病毒可以改写本地及网络硬盘上面的某些文件。用户机器染毒以后,邮件系统将会变慢,并可能导致整个网络系统崩溃,当时在全球更是造成了百亿美元的损失。
2000年5月4日,一种名为“我爱你”的电脑病毒开始在全球各地迅速传播,短短的一两天内就侵袭了100多万台计算机。这个病毒是通过MicrosoftOutlook电子邮件系统传播的,邮件的主题为“ILOVEYOU”,并包含一个附件。一旦在MicrosoftOutlook里打开这个邮件,系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。
由于是通过电子邮件系统传播,“我爱你”病毒在很短的时间内就袭击了全球无以数计的电脑,并且,从被感染的电脑系统来看,“爱虫”病毒的袭击对象并不是普通的计算机用户,而是那些具有高价值IT资源的电脑系统:美国国防部的多个安全部门、中央情报局、英国国会等政府机构及多个跨国公司的电子邮件系统遭到袭击。
据称:“爱虫”病毒是迄今为止发现的传染速度最快而且传染面积最广的计算机病毒,它已对全球包括股票经纪、食品、媒体、汽车和技术公司以及大学甚至医院在内的众多机构造成了负面影响。
在疯狂的“爱虫”病毒被发现当天不久,冠群金辰的全球病毒监测网发现,该病毒为了诱惑更多的网络用户上当,现又生成另外一种变型病毒,带有这种病毒的电子邮件主题词中往往带有“笑话”一词,以引诱用户打开邮件。预计,在未来几天之内“我爱你”病毒还会生成更多种类的变型病毒。
此次被冠群金辰公司发现的这种新变型除了在电子邮件的主题词中写有“笑话”一词以外,其附件中还带有一个名为“特别可笑”的文件夹。为此,冠群金辰特提醒广大网络用户千万不要打开任何带有上述标志的电子邮件并应立即将之删除。同时,冠群金辰提醒计算机用户要及时升级KILL反病毒软件,因为KILL最新病毒库版本已可查杀此病毒。
VBS/LoveLetter.A蠕虫的检测与清除
北京冠群金辰公司的KILL11.16版本已经可以检测VBS/LoveLetter.A蠕虫的所有组成部分。要清除被感染的系统,必须删除所有发现的带毒文件,而且必须删除以上提及的所有注册表中的键值。
VBS/LoveLetter.A蠕虫家族
自从VBS/LoveLetter.A蠕虫出现后,已经有几个变种出现,下面是所有已知变种的特征描述。KILL11.20版本已经包括了所有变种的检测代码,并加上LoveLetter蠕虫家族的检测代码,以便可能检测未来出现的变种。
VBS/LoveLetter.A蠕虫
邮件主题:ILOVEYOU(我爱你)
邮件附件名:LOVE-LETTER-FOR-YOU.TXT.vbs
HTML文件:LOVE-LETTER-FOR-YOU.HTM
驻留文件:MSKernel32.vbsWin32DLL.vbsWinFAT32.exe
下载文件:WIN-BUGSFIX.exe
覆盖的文件扩展名:vbsvbejsjsecsswshscthtajpgjpegmp3mp2
VBS/LoveLetter.B(又名VeryFunny)蠕虫
邮件主题:VeryFunny(很有趣).vbs
邮件附件:Joke
HTML文件:VeryFunny.HTM
驻留文件:MSKernel32.vbsWin32DLL.vbsWinFAT32.exe
下载文件:WIN-BUGSFIX.exe
覆盖的文件扩展名:vbsvbejsjsecsswshscthtajpgjpegmp3mp2
邮件主体内容:
无
VBS/LoveLetter.C蠕虫
邮件主题:Susitikimshivakarakavospuodukui...
邮件附件:LOVE-LETTER-FOR-YOU.TXT.vbs
HTML文件:LOVE-LETTER-FOR-YOU.HTM
驻留文件:MSKernel32.vbsWin32DLL.vbsWinFAT32.exe
下载文件:WIN-BUGSFIX.exe
覆盖的文件扩展名:vbsvbejsjsecsswshscthtajpgjpegmp3mp2
邮件主体内容:
kindlychecktheattachedLOVELETTERcomingfromme.(意为:请查收我寄来的情书。)
VBS/LoveLetter.D蠕虫
邮件主题:MothersDayOrderConfirmation(母亲节订单确认)
邮件附件:mothersday.vbs
HTML文件:mothersday.HTM
驻留文件:MSKernel32.vbsWin32DLL.vbs
下载文件:无
覆盖文件扩展名:vbsvbejsjsecsswshscthtainibatmp3mp2
邮件主体内容:
Wehaveproceededtochargeyourcredit
cardfortheamountof$326.92forthe
mothersdaydiamondspecial.
Wehaveattachedadetailedinvoiceto
thisemail.Pleaseprintouttheattachment
andkeepitinasafeplace.ThanksAgainand
HaveaHappyMothersDay!
(意为:我们从您的信用卡中收取了$326.92,用于支付母亲节的特别钻石。我们在这封电子邮件中附上了详细的发票。请把附件打印出来,放在安全的地方。再次感谢您,祝您母亲节快乐!)
VBS/LoveLetter.E蠕虫
邮件主题:Important!Readcarefully!!(重要!仔细阅读!!)
邮件附件:IMPORTANT.TXT.vbs
HTML文件:LOVE-LETTER-FOR-YOU.HTM
系统驻留文件:ESKernel32.vbsES32DLL.vbsWinFAT32.exe
下载文件:WIN-BUGSFIX.exe
覆盖文件扩展名:vbsvbejsjsecsswshscthtajpgjpegmp3mp2
邮件主体内容:
ChecktheattachedIMPORTANTcomingfromme!(意为:检查附件中来自我的重要信息!)
VBS/LoveLetter.F蠕虫
邮件主题:DangerousVirusWarning(危险病毒警告)
邮件附件:virus_warning.jpg.vbs
HTML文件:Urgent_virus_warning.htm
系统驻留文件:MSKernel32.vbsWin32DLL.vbs
下载文件:setup24.exe
覆盖文件扩展名:jsjsecsswshscthtawavtxtgifdochtmhtmlxlsjpg
jpegmp3mp2
邮件主体内容:
Thereisadangerousviruscirculating.Pleaseclicktheattachedpicturetoviewitandlearntoavoidit.
(意为:有一种危险的病毒在传播。请点击所附图片查看并学会避免。)
VBS/LoveLetter.G蠕虫
邮件主题:Virusalert!!!(病毒警报!!!)
邮件附件:protect.vbs
HTML文件:protect.HTM
系统驻留文件:MSKernel32.vbsWin32DLL.vbs
下载文件:无
覆盖文件扩展名:vbsvbejsjsecsswshscthtajpgjpegmp3mp2combat
邮件主体内容:
DearSymanteccustomer,
Symantec'sAntiVirusResearchCenterbeganreceivingreportsregardingVBS.LoveLetter.AvirusearlymorningonMay4,2000,GMT.ThiswormappearstooriginatefromtheAsiaPacificregion.Distributionofthevirusiswidespreadandhundredsofthousandsofmachinesarereportedinfected.
TheVBS.LoveLetter.AisanInternetwormthatusesMicrosoftOutlooktoe-mailitselfasanattachment.
Thesubjectlineofthee-mailreadsILOVEYOU,withtheattachmenttitledLOVE-LETTER-FOR-YOU.TXT.VBS.Oncetheattachmentisopened,thevirusreplicatesandsendsane-mailtoalle-mailaddresseslistedintheaddressbook.ThevirusalsospreadsitselfviaInternetrelaychatandinfectsfilesonlocalandremotedrivesincludingfileswithextensionsvbs,vbe,js,sje,css,wsh,sct,hta,jpg,jpeg,mp3,mp2.
Usersshouldexercisecautionwhenopeninge-mailswiththissubjectline,evenifthee-mailisfromsomeonetheyknow,asthatishowthevirusisspread.
SymantecCorp.todayannouncedtheavailabilityofthevirusdefinitiontodetect,repairandprotectusersagainsttheVBS.LoveLetter.Avirus.
ThisdefinitionisavailablenowviaSymantec'sLiveUpdateandcanalsobedownloadedfromthefollowingwebsites:
"AlsoasaquicksolutionSymantecCorp.OffersVisualBasicScripttoprotectyourPCagainstthisworm.(Seeattached.)
Note!Whenexecuted,thisscriptwillprotectYourPCfrombeingINFECTEDbyVBS.LoveLetter.Avirus.
SymantecCorporation-aworldleaderininternetsecuritytechnology.
邮件内容意为:
尊敬的赛门铁克客户:
赛门铁克的反病毒研究中心于2000年5月4日格林尼治时间清晨开始收到有关VBS.LoveLetter的报告。这种病毒似乎来自亚太地区。病毒的分布很广,据报道有几十万台机器被感染。
VBS.LoveLetter.A是一个Internet蠕虫,它使用MicrosoftOutlook将自己作为附件发送电子邮件。
电子邮件的主题行是iloveu,附件名为LOVE-LETTER-FOR-YOU.TXT.VBS。一旦附件打开,病毒就会复制并向通讯簿中列出的所有电子邮件地址发送电子邮件。该病毒还通过互联网中继聊天传播,感染本地和远程驱动器上的文件,包括扩展名为vbs、vbe、js、sje、css、wsh、sct、hta、jpg、jpeg、mp3、mp2的文件。
用户在打开带有此主题行的电子邮件时应谨慎,即使电子邮件来自他们认识的人,因为这就是病毒的传播方式。
赛门铁克公司今天宣布提供病毒定义,以检测、修复和保护用户免受VBS.LoveLetter.A病毒的侵害。
此定义现在可以通过Symantec的LiveUpdate获得,也可以从以下网站下载:
“同时作为一个快速解决方案,赛门铁克公司(SymantecCorp.)提供了VisualBasic脚本来保护您的电脑免受此蠕虫的侵害。(见附件。)
注意!执行时,此脚本将保护您的电脑不被VBS.LoveLetter.A病毒感染。
赛门铁克公司-互联网安全技术的世界领先者。
VBS/LoveLetter.H蠕虫
邮件主题:BewerbungKreolina
邮件附件:BEWERBUNG.TXT.vbs
HTML文件:BEWERBUNG.HTM
系统驻留文件:MSKernel32.vbsWin32DLL.vbsWinFAT32.exe
下载文件:WIN-BUGSFIX.exe
覆盖文件扩展名:vbsvbejsjsecsswshscthtajpgjpegmp3mp2
邮件主体内容:
SehrgeehrteDamenundHerren!
(意为:女士们先生们!)
VBS/LoveLetter.I蠕虫
邮件主题:Important!Readcarefully!!(重要!仔细阅读!!)
附件:IMPORTANT.TXT.vbs
HTML文件:LOVE-LETTER-FOR-YOU.HTM
系统驻留文件:ESKernel32.vbsES32DLL.vbsWinFAT32.exe
下载文件:WIN-BUGSFIX.exe
覆盖文件扩展名:vbsvbejsjsecsswshscthtajpgjpegmp3mp2
邮件主体内容:
ChecktheattachedIMPORTANTcomingfromme!
(意为:检查附件中来自我的重要信息!)
VBS/LoveLetter.A是一个基于e-mail的VBS(VisualBasicScript)蠕虫,它以一个电子邮件的附件到达您的邮箱(见图),邮件的主题是ILOVEYOU(全大写,无空格)。
e-mail的正文:
请尽快查收来自我的邮件附件的LOVELETTER。
e-mail带有名为LOVE-LETTER-FOR-YOU.TXT.vbs的附件。.VBS扩展名是否显示,依赖于系统的设置。
如果您收到了一封与以上所述相符的e-mail,您不要打开邮件的附件,并立即删除e-mail。
LoveLetter蠕虫通过产生如上所述的e-mail传播,蠕虫自身作为邮件的附件,且发送给在Outlook通讯簿中的所有收件人。在大的机构中,产生的大量e-mail可能会使电子邮件服务器超载,处于瘫痪状态。
LoveLetter蠕虫传播的目标是Windows98,缺省安装的Windows2000和WindowsNT4.0以及安装了WindowsScriptingHost(WSH)引擎的Windows95系统。蠕虫使用不同的名字将自身复制到多重子目录中:
在Windows目录中的文件名是Win32DLL.vbs,在Windowssystem目录中的文件名为MSKernel32.vbs和LOVE-LETTER-FOR-YOU.TXT.vbs。
LoveLetter蠕虫修改注册表信息,以便它在下次启动时能运行:
HKElkjhflkafkljhsajdkhfkajshfklafhlkajfhs
C:WINDOWSSYSTEMMSKernel32.vbs
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesWin
32DLL=C:WINDOWSWin32DLL.vbs
蠕虫还设置缺省的IE(InternetExplorer)主页,下载WIN_BUGFIX.exe文件的一个副本,该文件看起来是一个“后门服务器”(backdoorserver)。该文件在Web上真实的位置目前是关闭的。HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunWinFAT32=C:WINDOWSSYSTEMWinFAT32
LoveLetter蠕虫搜索所有的子目录,并用自身的副本覆盖(overwrite)扩展名为JPG,VBS,JS,JSE,CSS,WSH,SCT,HTA,MP3和MP2的所有文件,给无VBS(non-VBS)后缀的文件名添加VBS扩展名。如:一个名为的文件将变为。下一次染毒文件被点击或被激活,蠕虫将开始传播。
如果IRC(在线聊天系统)客户在系统中出现,LoveLetter蠕虫将产生一个HTML文件,将自身发送到IRC通道中。
1.接到电子邮件后首先要做的是先仔细检查电子邮件的附件,不要点击任何带有后缀为.vbs文件或在附件上有像“屏幕移动”一样的图标的附件。同时在计算机中要具有一种以上的实时防病毒软件并且经常更新病毒代码库,这样在下载邮件或打开附件时实时查毒。
2.你也可以通过关闭你计算机中WindowsScriptingHost的来防止病毒进入你的计算机。(WindowsScriptingHost编写脚本作用是用来帮助Windows程序自动执行。)使你的计算机免疫。
在Windows98中,方法是按开始菜单,选择设置选项中的控制面板。双击控制面板上的添加/删除程序。选择Windows组件或Windows安装程序,双击附件选项,在列表中单击WindowsScriptingHost清除复选框。
ILOVEYOU,Melissa和NewLove等病毒都需要借助于WindowsScriptingHost来繁殖传播。但是很少有人在日常工作中需要WindowsScriptingHost。因此去掉它不会对你生活学习造成影响,而且可以起到预防免疫的作用。
爱虫病毒的厉害之处在于,它能够通过MicrosoftOutlook自动向被感染者地址簿中所有邮件发送病毒,造成网络系统崩溃。此病毒与曾一度闹的人心惶惶的美丽杀手(即Melissa,梅丽莎病毒)病毒有类似的传播手段。相比较而言,此病毒的感染性更强,它可寻找本地驱动器和映射驱动器,并在系统所有目录和子目录中搜索可以感染的目标。这也是此病毒能够在美丽杀手爆发一年后,再次造成全球大面积网络瘫痪的一个重要原因。
冠群金辰认为21世纪网络的发展为企业和个人孕育着无限的商机,但是,伴随网络接踵而来的黑客大肆攻击网站事件、蠕虫病毒导致严重网络瘫痪事件,已经不断向人们敲响了网络安全的警钟。据冠群金辰对当前病毒传播手段的统计表明,企业当前面临的网络不安全因素主要源于邮件系统;而对个人用户构成最大、最多威胁的病毒也多通过邮件、网络进行传播,以“美丽杀手”“ZIP蠕虫”“爱虫”等大量通过互联网邮件系统自动的病毒呈现出爆发频率加快的态势。因此,作为一个反毒厂家目前要作到的就是从企业内部的每一个可能传播病毒的计算机和服务器进行防护,特别值得指出的是,针对邮件系统的安全防护已经成为企业目前必须解决网络的安全问题。
针对目前企业受到邮件病毒爆发的威胁的情况,冠群金辰推出了一系列专门针对企业用户的套装组合,在此套装组合中,冠群金辰公司将的KILLforMicrosoftExchange和KILLforLotusNotes两种唯一通过公安部评测的邮件群件防护软件与KILL网络版的服务器端产品和客户端产品无缝集成在一起,为用户提供先进的病毒检测技术、通过对服务器、邮件服务器、客户端的3位一体全面防护,从而达到自动发现,自动报警,自动清除所有通过网络传播的病毒的功能,时时刻刻全方位保护用户的邮件及文件系统,确保用户不会受到“爱虫”一类病毒困扰。企业的网络将能够真正构架起安全的楼宇。