爱虫病毒发表评论(0)编辑词条

2000年5月4日，一种名为“我爱你”的电脑病毒开始在全球各地迅速传播。这个病毒是通过MicrosoftOutook电子邮件系统传播的，邮件的主题为“ILOVEYOU”，并包含一个附件。一旦在MicrosoftOutlook里打开这个邮件，系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。

爱虫病毒

目录[隐藏] • 背景资料
• 又生变种
• 技术细节分析
• 检测与清除
• 种类
• 预防
• 相关词条
• 参考资料

“我爱你”病毒，又称“爱虫”病毒，是一种蠕虫病毒，它与1999年的梅丽莎病毒非常相似。据称，这个病毒可以改写本地及网络硬盘上面的某些文件。用户机器染毒以后，邮件系统将会变慢，并可能导致整个网络系统崩溃。

由于是通过电子邮件系统传播，“我爱你”病毒在很短的时间内就袭击了全球无以数计的电脑，并且，从被感染的电脑系统来看，“爱虫”病毒的袭击对象并不是普通的计算机用户，而是那些具有高价值IT资源的电脑系统：美国国防部的多个安全部门、中央情报局、英国国会等政府机构及多个跨国公司的电子邮件系统遭到袭击。

据称：“爱虫”病毒是迄今为止发现的传染速度最快而且传染面积最广的计算机病毒，它已对全球包括股票经纪、食品、媒体、汽车和技术公司以及大学甚至医院在内的众多机构造成了负面影响。“爱虫”仍在迅速扩散之中，其危害性将继续扩大。

在疯狂的“爱虫”病毒被发现当天不久，冠群金辰的全球病毒监测网发现，该病毒为了诱惑更多的网络用户上当，现又生成另外一种变型病毒，带有这种病毒的电子邮件主题词中往往带有“笑话”一词，以引诱用户打开邮件。预计，在未来几天之内“我爱你”病毒还会生成更多种类的变型病毒。

此次被冠群金辰公司发现的这种新变型除了在电子邮件的主题词中写有“笑话”一词以外，其附件中还带有一个名为“特别可笑”的文件夹。为此，冠群金辰特提醒广大网络用户千万不要打开任何带有上述标志的电子邮件并应立即将之删除。同时，冠群金辰提醒计算机用户要及时升级KILL反病毒软件，因为KILL最新病毒库版本已可查杀此病毒。

爱虫病毒界面

VBS/LoveLetter.A蠕虫
VBS/LoveLetter.A蠕虫的特征
VBS/LoveLetter.A是一个基于e-mail的VBS（VisualBasicScript）蠕虫，它以一个电子邮件的附件到达您的邮箱，邮件的主题是ILOVEYOU（全大写，无空格）。
e-mail的正文：

请尽快查收来自我的邮件附件的LOVELETTER。
e-mail带有名为LOVE-LETTER-FOR-YOU.TXT.vbs的附件。.VBS扩展名是否显示，依赖于系统的设置。
如果您收到了一封与以上所述相符的e-mail，您不要打开邮件的附件，并立即删除e-mail。
LoveLetter蠕虫通过产生如上所述的e-mail传播，蠕虫自身作为邮件的附件，且发送给在Outlook通讯簿中的所有收件人。在大的机构中，产生的大量e-mail可能会使电子邮件服务器超载，处于瘫痪状态。

LoveLetter蠕虫传播的目标是Windows98,缺省安装的Windows2000和WindowsNT4.0以及安装了WindowsScriptingHost(WSH)引擎的Windows95系统。蠕虫使用不同的名字将自身复制到多重子目录中：
在Windows目录中的文件名是Win32DLL.vbs，在\Windows\system目录中的文件名为MSKernel32.vbs和LOVE-LETTER-FOR-YOU.TXT.vbs。

LoveLetter蠕虫修改注册表信息，以便它在下次启动时能运行：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32=
C:\WINDOWS\SYSTEM\MSKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win
32DLL=C:\WINDOWS\Win32DLL.vbs

蠕虫还设置缺省的IE（InternetExplorer）主页，下载WIN_BUGFIX.exe文件的一个副本，该文件看起来是一个“后门服务器”（backdoorserver）。该文件在Web上真实的位置目前是关闭的。为了防止该站点再被访问，不小心下载了可执行文件，冠群金辰公司建议您可能的话，在代理服务器阻塞如下URLs：
http://www.skyinet.net/~young1s
http://www.skyinet.net/~angelcat
http://www.skyinet.net/~koichi
http://www.skyinet.net/~chu

可执行文件将被安装和重命名，以便在启动系统时也能运行：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinFAT32=C:\WINDOWS\SYSTEM\WinFAT32

LoveLetter蠕虫搜索所有的子目录，并用自身的副本覆盖（overwrite）扩展名为JPG,VBS,JS,JSE,CSS,WSH,SCT,HTA,MP3和MP2的所有文件，给无VBS（non-VBS）后缀的文件名添加VBS扩展名。如：一个名为Satisfaction.MP3的文件将变为Satisfaction.MP3.VBS。下一次染毒文件被点击或被激活，蠕虫将开始传播。

如果IRC（在线聊天系统）客户在系统中出现，LoveLetter蠕虫将产生一个HTML文件，将自身发送到IRC通道中。

   
北京冠群金辰公司的KILL11.16版本已经可以检测VBS/LoveLetter.A蠕虫的所有组成部分。要清除被感染的系统，必须删除所有发现的带毒文件，而且必须删除以上提及的所有注册表中的键值。

VBS/LoveLetter.A蠕虫家族

自从VBS/LoveLetter.A蠕虫出现后，已经有几个变种出现，下面是所有已知变种的特征描述。KILL11.20版本已经包括了所有变种的检测代码，并加上LoveLetter蠕虫家族的检测代码，以便可能检测未来出现的变种。

VBS/LoveLetter.A蠕虫

邮件主题：ILOVEYOU
邮件附件名：LOVE-LETTER-FOR-YOU.TXT.vbs
HTML文件：LOVE-LETTER-FOR-YOU.HTM
驻留文件：MSKernel32.vbsWin32DLL.vbsWinFAT32.exe
下载文件：WIN-BUGSFIX.exe
覆盖的文件扩展名：vbsvbejsjsecsswshscthtajpgjpegmp3mp2
邮件主体内容：
kindlychecktheattachedLOVELETTERcomingfromme.（意为：请查收我用附件给您发送的LOVELETTER）

VBS/LoveLetter.B(又名VeryFunny)蠕虫

邮件主题：VeryFunny.vbs
邮件附件：Joke
HTML文件：VeryFunny.HTM
驻留文件：MSKernel32.vbsWin32DLL.vbsWinFAT32.exe
下载文件：WIN-BUGSFIX.exe
覆盖的文件扩展名：vbsvbejsjsecsswshscthtajpgjpegmp3mp2
邮件主体内容：
无

VBS/LoveLetter.C蠕虫

邮件主题：Susitikimshivakarakavospuodukui...
邮件附件：LOVE-LETTER-FOR-YOU.TXT.vbs
HTML文件：LOVE-LETTER-FOR-YOU.HTM
驻留文件：MSKernel32.vbsWin32DLL.vbsWinFAT32.exe
下载文件：WIN-BUGSFIX.exe
覆盖的文件扩展名：vbsvbejsjsecsswshscthtajpgjpegmp3mp2
邮件主体内容：
kindlychecktheattachedLOVELETTERcomingfromme.（意为：请查收我用附件给您发送的LOVELETTER）

VBS/LoveLetter.D蠕虫

邮件主题：MothersDayOrderConfirmation
邮件附件：mothersday.vbs
HTML文件：mothersday.HTM
驻留文件：MSKernel32.vbsWin32DLL.vbs
下载文件：无
覆盖文件扩展名：vbsvbejsjsecsswshscthtainibatmp3mp2
邮件主体内容：
Wehaveproceededtochargeyourcredit
cardfortheamountof$326.92forthe
mothersdaydiamondspecial.
Wehaveattachedadetailedinvoiceto
thisemail.Pleaseprintouttheattachment
andkeepitinasafeplace.ThanksAgainand
HaveaHappyMothersDay!
Mothersday@subdimension.com
（意为：我们从您的信用卡中收取了$326.92，用于支付母亲节的特别钻石。详细发票请见邮件附件，请将其打印出来，并保管在安全的地方。再次表示感谢，母亲节快乐！）

VBS/LoveLetter.E蠕虫

邮件主题：Important!Readcarefully!!
邮件附件：IMPORTANT.TXT.vbs
HTML文件：LOVE-LETTER-FOR-YOU.HTM
系统驻留文件：ESKernel32.vbsES32DLL.vbsWinFAT32.exe
下载文件：WIN-BUGSFIX.exe
覆盖文件扩展名：vbsvbejsjsecsswshscthtajpgjpegmp3mp2
邮件主体内容：
ChecktheattachedIMPORTANTcomingfromme!（意为：请查收我在附件中给您发送的重要信息。）

VBS/LoveLetter.F蠕虫

邮件主题：DangerousVirusWarning
邮件附件：virus_warning.jpg.vbs
HTML文件：Urgent_virus_warning.htm
系统驻留文件：MSKernel32.vbsWin32DLL.vbs
下载文件：setup24.exe
覆盖文件扩展名：jsjsecsswshscthtawavtxtgifdochtmhtmlxlsjpg
jpegmp3mp2
邮件主体内容：
Thereisadangerousvirus
circulating.Pleaseclickattachedpicturetoviewitandlearntoavoidit.（意为：危险病毒正在大肆传播。请点击查看附件中的图画，以避免感染。）

VBS/LoveLetter.G蠕虫

邮件主题：VirusALERT!!!
邮件附件：protect.vbs
HTML文件：protect.HTM
系统驻留文件：MSKernel32.vbsWin32DLL.vbs
下载文件：无
覆盖文件扩展名：vbsvbejsjsecsswshscthtajpgjpegmp3mp2combat

邮件主体内容：
DearSymanteccustomer,
Symantec'sAntiVirusResearchCenterbeganreceivingreportsregardingVBS.LoveLetter.AvirusearlymorningonMay4,2000GMT.ThiswormappearstooriginatefromtheAsiaPacificregion.Distributionofthevirusiswidespreadandhundredsofthousandsofmachinesarereportedinfected.
TheVBS.LoveLetter.AisanInternetwormthatusesMicrosoftOutlooktoe-mailitselfasanattachment.
Thesubjectlineofthee-mailreadsILOVEYOU,withtheattachmenttitledLOVE-LETTER-FOR-YOU.TXT.VBS.Oncetheattachmentisopened,thevirusreplicatesandsendsane-mailtoalle-mailaddresseslistedintheaddressbook.ThevirusalsospreadsitselfviaInternetrelaychatandinfectsfilesonlocalandremotedrivesincludingfileswithextensionsvbs,vbe,js,sje,css,wsh,sct,hta,jpg,jpeg,mp3,mp2.
Usersshouldexercisecautionwhenopeninge-mailswiththissubjectline,evenifthee-mailisfromsomeonetheyknow,asthatishowthevirusisspread.
SymantecCorp.todayannouncedavailabilityofthevirusdefinitiontodetect,repairandprotectusersagainsttheVBS.LoveLetter.Avirus.
ThisdefinitionisavailablenowviaSymantec'sLiveUpdateandcanalsobedownloadedfromthefollowingwebsites:
"http://www.symantecstore.com/AF74211/promo/loveletter"
"http://www.digitalriver.com/symantec"
AlsoasaquicksolutionSymantecCorp.OffersVisualBasicScripttoprotectyourPCagainst
thisworm.(Seeattached.)
Note!Whenexecuted,thisscriptwillprotectYourPCfrombeingINFECTEDbyVBS.LoveLetter.Avirus.
SymantecCorporation-aworldleaderininternetsecuritytechnology.
邮件内容意为：

亲爱的赛门铁克用户：

格林威治时间2000年5月4日早晨，赛门铁克的反病毒研究中心（AntiVirusResearchCenter）收到许多关于VBS.LoveLetter.A病毒的报告。这一病毒来自亚太地区，它正广泛传播，已有数十万台计算报告感染该病毒。
VBS.LoveLetter.A是一种Internet病毒，它把自己作为MicrosoftOutlook电子邮件的附件进行传播。

邮件主题为“ILOVEYOU”，附件为LOVE-LETTER-FOR-YOU.TXT.VBS。附件一旦打开，该病毒即复制自身，通过电子邮件发送给地址薄中的所有人。该病毒还可通过Internet聊天传播，并感染本地/远程驱动器上扩展名为vbs,vbe,js,sje,css,wsh,sct,hta,jpg,jpeg,mp3,mp2的文件。

用户在打开这一主题的电子邮件时务必提高警惕，即便这封电子邮件来自他们所认识的人，这正是这一病毒得以大肆传播的原因。

赛门铁克公司日前发布病毒特征库，以检测、修复、防护VBS.LoveLetter.A病毒。
用户可通过赛门铁克的LiveUpdate获得最新病毒特征库，也可从http://www.symantecstore.com/AF74211/promo/loveletter、http://www.digitalriver.com/symantec网站下载。

赛门铁克公司还提供了快捷的解决方案，请见附件的VisualBasicScript。
注：当执行时，该程序将保护您的机器免遭VBS.LoveLetter.Avirus感染。

VBS/LoveLetter.H蠕虫

邮件主题：BewerbungKreolina
邮件附件：BEWERBUNG.TXT.vbs
HTML文件：BEWERBUNG.HTM
系统驻留文件：MSKernel32.vbsWin32DLL.vbsWinFAT32.exe
下载文件：WIN-BUGSFIX.exe
覆盖文件扩展名：vbsvbejsjsecsswshscthtajpgjpegmp3mp2
邮件主体内容：
SehrgeehrteDamenundHerren!
Note:German,pretendingtobearesume.（意为：注：德文，冒充简历）

VBS/LoveLetter.I蠕虫

邮件主题：Important!Readcarefully!!
附件：IMPORTANT.TXT.vbs
HTML文件：LOVE-LETTER-FOR-YOU.HTM
系统驻留文件：ESKernel32.vbsES32DLL.vbsWinFAT32.exe
下载文件：WIN-BUGSFIX.exe
覆盖文件扩展名：vbsvbejsjsecsswshscthtajpgjpegmp3mp2
邮件主体内容：
ChecktheattachedIMPORTANTcomingfromme!
Note:InternaldifferencestotheEvariantinthecode.
（意为：请查收我在附件中给您发送的重要信息。
注：在代码上与E变种的内部有所不同。）

爱虫病毒的厉害之处在于，它能够通过MicrosoftOutlook自动向被感染者地址簿中所有邮件发送病毒，造成网络系统崩溃。此病毒与去年曾一度闹的人心惶惶的美丽杀手病毒有类似的传播手段。相比较而言，此病毒的感染性更强，它可寻找本地驱动器和映射驱动器，并在系统所有目录和子目录中搜索可以感染的目标。这也是此病毒能够在美丽杀手爆发一年后，再次造成全球大面积网络瘫痪的一个重要原因。

冠群金辰认为21世纪网络的发展为企业和个人孕育着无限的商机，但是，伴随网络接踵而来的黑客大肆攻击网站事件、蠕虫病毒导致严重网络瘫痪事件，已经不断向人们敲响了网络安全的警钟。据冠群金辰对当前病毒传播手段的统计表明，企业当前面临的网络不安全因素主要源于邮件系统；而对个人用户构成最大、最多威胁的病毒也多通过邮件、网络进行传播，以“美丽杀手”“ZIP蠕虫”“爱虫”等大量通过互联网邮件系统自动的病毒呈现出爆发频率加快的态势。因此，作为一个反毒厂家目前要作到的就是从企业内部的每一个可能传播病毒的计算机和服务器进行防护，特别值得指出的是，针对邮件系统的安全防护已经成为企业目前必须解决网络的安全问题。并且企业级的网络安全产品必须具备优秀先进的实时防护技术，全平台防护技术，同时安全产品应针对病毒、蠕虫这些频繁出现的不安全因素提供病毒快速捕捉及病毒库升级功能，即具备全球病毒监测及全国服务网的能力。

针对目前企业受到邮件病毒爆发的威胁的情况，冠群金辰推出了一系列专门针对企业用户的套装组合，在此套装组合中，冠群金辰公司将的KILLforMicrosoftExchange和KILLforLotusNotes两种唯一通过公安部评测的邮件群件防护软件与KILL网络版的服务器端产品和客户端产品无缝集成在一起，为用户提供先进的病毒检测技术、通过对服务器、邮件服务器、客户端的3位一体全面防护，从而达到自动发现，自动报警，自动清除所有通过网络传播的病毒的功能，时时刻刻全方位保护用户的邮件及文件系统，确保用户不会受到“爱虫”一类病毒困扰。企业的网络将能够真正构架起安全的楼宇。