爱虫病毒
ZH_CN版预览
电子邮件 - Worm.VBS.LoveLetter
检测日期:05/05/2000
类:电子邮件蠕虫
平台:云硬盘备份
父类:VirWare 软件
病毒和蠕虫是恶意程序,它们在计算机上或通过计算机网络自行复制,而用户却没有意识到;此类恶意程序的每个后续副本也能够自我复制。 通过网络传播或在“所有者”(例如后门程序)命令时感染远程计算机的恶意程序,或创建无法自我复制的多个副本的程序,都不属于 Viruses 和 Worms 子类。 用于确定程序是否在 Viruses 和 Worms 子类中被归类为单独行为的主要特征是程序的传播方式(即恶意程序如何通过本地或网络资源传播自身的副本)。 大多数已知的蠕虫通过电子邮件附件发送的文件、Web 或 FTP 资源的链接、ICQ 或 IRC 消息中发送的链接、P2P 文件共享网络等进行传播。 一些蠕虫以网络数据包的形式传播;这些直接渗透到计算机内存中,然后激活蠕虫代码。 蠕虫使用以下技术渗透到远程计算机并启动自身的副本:社会工程(例如,建议用户打开附件的电子邮件)、利用网络配置错误(例如复制到完全可访问的磁盘)以及利用操作系统和应用程序安全中的漏洞。 可以根据用于感染计算机的方法对病毒进行划分:
文件病毒、引导扇区病毒、宏病毒、脚本病毒
此子类中的任何程序都可以具有其他特洛伊木马程序功能。 还应注意,许多蠕虫使用不止一种方法通过网络传播副本。类:电子邮件蠕虫
电子邮件蠕虫通过电子邮件传播。蠕虫将自身的副本作为电子邮件的附件或指向其在网络资源上的文件的链接(例如,指向受感染网站或黑客拥有的网站上的受感染文件的 URL)发送。 在第一种情况下,蠕虫代码在打开(启动)受感染的附件时激活。在第二种情况下,当打开指向受感染文件的链接时,代码将被激活。在这两种情况下,结果是相同的:蠕虫代码被激活。 电子邮件蠕虫使用一系列方法发送受感染的电子邮件。最常见的是: 使用蠕虫代码中内置的电子邮件目录直接连接到 SMTP 服务器 使用 MS Outlook 服务 使用 Windows MAPI 函数。 Email-Worms 使用许多不同的来源来查找受感染电子邮件将发送到的电子邮件地址: MS Outlook 中的地址簿 WAB 地址数据库 .txt存储在硬盘驱动器上的文件:蠕虫可以识别文本文件中的哪些字符串是电子邮件地址 收件箱中的电子邮件(一些 Email-Worm 甚至“回复”在收件箱中找到的电子邮件) 许多电子邮件蠕虫使用上面列出的多个来源。还有其他电子邮件地址来源,例如与基于 Web 的电子邮件服务关联的地址簿。
阅读更多平台:云硬盘备份
Visual Basic Scripting Edition (VBScript) 是一种由 Windows Script Host 解释的脚本语言。VBScript 广泛用于在 Microsoft Windows 操作系统上创建脚本。描述
技术细节
这就是在 2000 年 5 月初引起全球流行病的 Internet 蠕虫。该蠕虫通过发送来自以下位置的受感染邮件,通过电子邮件传播 受影响的计算机。在传播过程中,蠕虫使用 MS Outlook 并将自身发送到存储在 MS Outlook 地址簿中的所有地址。因此,受感染的计算机会向 MS Outlook 联系人列表中保留的任意数量的地址发送任意数量的邮件。
该蠕虫是用脚本语言“Visual Basic Script”(VBS) 编写的。它仅在安装了 Windows 脚本主机 (WSH) 的计算机上运行。在 Windows 98 和 Windows 2000 中,默认安装 WHS。自 蠕虫会自行传播,访问 MS Outlook 并使用其功能和地址列表,这些函数和地址列表仅在 Outlook 98/2000 中可用,因此蠕虫是 只有在安装了这些 MS Oulook 版本之一的情况下才能传播。
蠕虫运行时,会通过电子邮件发送其副本,将自身安装到系统中,执行破坏性操作,下载并安装特洛伊木马程序。该蠕虫还具有通过 mIRC 通道传播的能力。
蠕虫包含“copyright”字符串:Barok -LoveLetter(VBE) < I Hate Go to School
> 作者: Spyder / ispyder@mail.com / @GRAMMERSoft Group / 菲律宾马尼拉
漫
蠕虫以电子邮件的形式到达计算机,并附加了一个 VBS 文件,该文件就是蠕虫本身。原始蠕虫版本中的消息是:
The Subject: ILOVEYOU
Message body: kindly check the attached LOVELETTER coming from me.
Attached file name: LOVE-LETTER-FOR-YOU.TXT.vbs
用户激活后(通过双击附件)蠕虫会打开 MS Outlook,获得对地址簿的访问权限,并从中获取所有地址 并向所有 S 发送带有附加副本的消息。邮件主题、正文和附加的文件名与上述相同。
蠕虫还会自行安装到系统中。它在 Windows 目录中创建其名称为:
in Windows directory: WIN32DLL.VBS
in Windows system directory: MSKERNEL32.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS
然后,这些文件将在系统注册表的 Windows auto-run 部分中注册:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL = Win32DLL.VBS
因此,每次 Windows 启动时都会重新激活蠕虫。
该蠕虫还会在 Windows 系统目录中创建一个 HTM 投放程序,以便在传播到 mIRC 通道时使用它(见下文)。此副本具有以下名称:
LOVE-LETTER-FOR-YOU.TXT.HTM
下载特洛伊木马程序文件
为了将特洛伊木马程序安装到系统中,蠕虫会修改 Internet Explorer 起始页的 URL。新 URL 指向一个 Web 站点(仅从 4 个变体中选择)并强制 Explorer 下载 EXE 文件 从那里开始。该文件的名称为 WIN-BUGSFIX.EXE,并且是特洛伊木马程序。然后,蠕虫会在系统注册表的 auto-run 部分中注册此文件:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGSFIX = WIN-BUGSFIX.exe
下次运行时,Internet Exlorer 会下载特洛伊木马并将其存储在系统的 Download 目录中。下次启动 Windows 时,特洛伊木马程序获得控制权,并且 将自身复制到具有 WINFAT32.EXE 名称的 Windows 系统目录。
当特洛伊木马程序安装到系统中后,蠕虫会将 Internet Explorer 起始页设置为空白 (“about:blank”)。
下载并安装的文件是窃取密码的木马。它获取本地机器名称和 IP 地址、网络登录名和密码、RAS 信息等,并将其发送到特洛伊木马主机。已分析的样本将邮件发送到 “mailme@super.net.ph”,邮件主题查找 如下所示:
巴洛克...电子邮件.passwords.sender.trojan
传播到 IRC 频道
蠕虫会扫描本地驱动器并查找文件:
MIRC32.EXE、MLINK32.EXE、MIRC。INI, 脚本.INI, MIRC.HLP
如果在子目录中找到至少一个这些文件,则蠕虫 丢弃一个新 SCRIPT。INI 文件复制到那里。该文件包含 mIRC 指令 向所有用户发送 WORM 副本(LOVE-LETTER-FOR-YOU.TXT.HTM 文件) 加入受感染的 IRC 频道。
剧本。INI 文件包含注释:mIRC 脚本
请不要编辑此脚本...mIRC 会损坏,如果 mIRC 会
损坏......WINDOWS 将受到影响,并且无法正常运行。感谢
Khaled Mardam-Bey
http://www.mirc.com
当 IRC 用户收到受感染的 HTML 时,它会被复制到 IRC 下载目录。然后,只有在用户单击该文件时,才会从该文件中激活蠕虫。由于浏览器的安全设置不允许脚本访问磁盘文件并显示警告消息,因此蠕虫使用一种技巧来避免这种情况。首先,它显示一条消息来欺骗用户:
此 HTML 文件需要 ActiveX 控件
才能读取此 HTML 文件
- 请按“是”按钮以启用 ActiveX
如果用户真的单击“YES”,蠕虫可以访问磁盘文件,并且 将自身安装到系统中。它将其 VBS 代码放入带有 MSKERNEL32 的 Windows 系统目录中。VBS 名称并将其注册到系统注册表的 Windows auto-run 部分中:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.云硬盘备份
如果选择“NO”,蠕虫会拦截鼠标移动和按键事件,并且 然后重新加载自身。因此,用户会在无限循环中收到一条警告消息,直到它按下“YES”。
破坏性操作
蠕虫会扫描所有可用的本地和映射驱动器上的子目录树,列出其中的所有文件,并根据文件扩展名执行操作:
VBS、VBE:蠕虫会用 VBS 正文覆盖这些文件。因此,系统中的所有 VBS 和 VBE 程序都被蠕虫代码覆盖。
JS、JSE、CSS、WSH、SCT、HTA:蠕虫会创建一个原始文件名加“.VBS“ 扩展并删除原始文件;即蠕虫 使用其代码覆盖这些文件,并使用 VBS 扩展名重命名它们。 例如,“TEST.JS” 会让 “TEST.VBS“的。
JPG、JPEG:蠕虫执行与上述相同的操作,但添加了 “.VBS“扩展名更改为完整文件名(不会重命名为”.VBS”)。例如,“PIC1.JPG” 变为 “PIC1.JPG。VBS“的。
MP2、MP3:蠕虫会创建一个带有“.VBS“扩展名(对于 ”SONG.MP2“,则蠕虫会创建”SONG.MP2 的。VBS“文件),将其代码写入其中,然后 将原始文件的 file 属性设置为 “hidden”。
其他变体
蠕虫本身是一个文本脚本程序,它以文本源形式传播。蠕虫的代码可能很容易被黑客修改,因此,原始蠕虫有许多变体。他们中的大多数只是次要的 重制版,仅在细节上与原始蠕虫不同 - 消息字段文本更改、文件名不同、受影响的磁盘文件扩展名集不同(例如,.BAT 和 .INI 的 INI 中)。
不同变体的主题、邮件正文和附加文件名如下所示(第一个块属于原始蠕虫版本):
Subject/body/attach name
ILOVEYOU
kindly check the attached LOVELETTER coming from me.
LOVE-LETTER-FOR-YOU.TXT.vbs
Mothers Day Order Confirmation
We have proceeded to charge your credit card for the amount of $326.92
for the mothers day diamond special. We have attached a detailed
invoice to this email. Please print out the attachment and keep it in a
safe place.Thanks Again and Have a Happy Mothers Day!
mothersday@subdimension.com
mothersday.vbs
fwd: Joke
- no message body in message
Very Funny.vbs
Susitikim shi vakara kavos puodukui...
kindly check the attached LOVELETTER coming from me.
LOVE-LETTER-FOR-YOU.TXT.vbs
Important ! Read carefully !!
Check the attached IMPORTANT coming from me !
IMPORTANT.TXT.vbs
Dangerous Virus Warning
There is a dangerous virus circulating.
Please click attached picture to view it and learn to avoid it.
virus_warning.jpg.vbs
How to protect yourself from the IL0VEY0U bug!
Here's the easy way to fix the love virus.
Virus-Protection-Instructions.vbs
Thank You For Flying With Arab Airlines
Please check if the bill is correct, by opening the attached file.
ArabAir.TXT.vbs
Bewerbung Kreolina
Sehr geehrte Damen und Herren!
BEWERBUNG.TXT.vbs
LOOK!
hehe...check this out.
LOOK.vbs
Variant Test
This is a variant to the vbs virus.
IMPORTANT.TXT.vbs
Yeah, Yeah another time to DEATH...
This is the Killer for VBS.LOVE-LETTER.WORM.
Vir-Killer.vbs
I Cant Believe This!!!
I Cant Believe I Have Just Recieved This Hate Email .. Take A Look!
KillEmAll.TXT.vbs
New Variation on LOVEBUG Update Anti-Virus!!
There is now a newer variant of love bug. It was released at
8:37 PM Saturday Night. Please Download the fo llowing patch.
We are trying to isolate the virus. Thanks Symantec.
antivirusupdate.vbs
IMPORTANT: Official virus and bug fix
This is an official virus and bug fix. I got it from our system admin.
It may take a short while to update your system files after you run the
attachment.
Bug and virus fix.vbs
Recent Virus Attacks-Fix
Attached is a copy of a script that will reverse the effect of
the LOVE-LETTER-TO-YOU.TXT.vbs as well as the FW:JOKE,
Mother's Day and Lituanian Siblings.
BAND-AID.DOC.vbs
PresenteUOL
O UOL tem um grande presente para voce, e eh exclusivo.
Veja o arquivo em anexo.
http://www.uol.com.br
UOL.TXT.vbs
BUG & VIRUS FIX
I got this from our system admin. Run this to help pervent a ny recent or
future bug & virus attack's. It may take a small while up update your files.
MAJOR BUG & VIRUS FIX.vbs
FREE SEXSITE PASSWORDS
cHECK IT OUT ; FREE SEX SITE PASSWORDS.
FREE SEXSITE PASSWORDS.HTML.vbs
You May Win $1,000,000! 1 Click Away
kindly check the attached WIN coming from me.
WIN.vbs
Virus Warnings !!!
VERY IMPORTANT PLEASE READ THIS TEXT. TEXT ATTACHMENT.
very-important-txt.vbs
HOW TO BEAT VIRUSES
kindly check the attached VIRUS INFORMATION coming from me.
This is how you can be immune to any virus. It really helps alot!
HOW_TO_BEAT_VIRUSES.TXT.vbs
You must read this!
Have you read this text? You must do it!!
C:NOTES.TXT.exe
New virus discovered!
A new virus has been discovered! It's name is @-@Alha and Omega@-@.
Full list of virus abilities is included in attached file @-@info.txt@-@.
For the last information go to McAfee's web page
Please forward this mesage to everyone you care about.
info.txt.vbs
Wish you were Here!
Wish you were Here! Im having a great time!
Wish you were Here!.postcard.vbs
扫一扫
8533
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
