VBS.ILOVEYOU病毒

病毒名称：VBS.ILOVEYOU

别名：LOVE-LETTER-FOR-YOU.TXT.vbs，IloveYou

病毒特点：

该病毒可感染安装了Windows Scripting Host（WSH）的Windows 9x或NT系统及Windows 2000系统，该病毒感染力极强，可寻找本地驱动器和映射驱动器，并在所有的目录和子目录中搜索可以感染的目标。

该病毒感染扩展名为"vbs", "vbe", "js", "jse", "css", "wsh", "sct","hta", "jpg", "jpeg", "mp3"和"mp2"等十二种类型文件。当病毒找到有扩展名为"js", "jse", "css", "wsh", "sct","hta"文件时，病毒将覆盖源文件，并将文件后缀改为"vbs"；当感染扩展名为"vbs", "vbe"的文件时，原文件将被病毒代码覆盖；当感染扩展名为"jpg", "jpeg"的文件时，用病毒代码覆盖文件原来的内容，并将后缀加上.vbs后缀，随后毁掉宿主文件，破坏了这些数据文件原始内容。扩展名为"mp3"和"mp2"的文件,其属性被改为隐含文件,然后创建病毒文件,其文件名为以原始文件名添加后缀.vbs作为新的文件名,例如:原始文件为jianyan.mp3,该文件被感染后,jianyan.mp3的文件属性改为隐含文件,然后生成病毒文件jianyan.mp3.vbs。

作为蠕虫，该病毒传播机理和“梅莉莎”类似，通过Microsoft Outlook发送带附件名为“LOVE-LETTER-FOR-YOU.TXT.vbs”的邮件给用户地址簿里所有的地址来传播的，主题为“I LOVE YOU”（译：我爱你），主体为“kindly check the attached LOVELETTER coming from me（译：请您收下这份情书）”，另外一个带毒的附件。

一旦病毒运行，将会在windows目录中生成以下文件：Win32DLL.vbs

在windows目录的system子目录中生成以下文件： MSKernel32.vbs LOVE-LETTER-FOR-YOU.TXT.vbs.

该病毒还修改注册表中的一些路径以达到Windows启动时自动运行的目的，增加注册表键值：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows

CurrentVersionRunMSKernel32

为

windowssystemMSKernel32.vbs

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows

CurrentVersionRunServicesWin32DLL

为

windowsWin32DLL.vbs

该病毒在windowssystem的子目录下查找名为WinFAT32.exe的文件，然后将ＩＥ默认的启始页随机修改为以下站点之一：

http://www.skyinet.net/~young1s/

HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/

WIN- BUGSFIX.exe

http://www.skyinet.net/~angelcat/

skladjflfdjghKJnwetryDGFikjUIyqwerWe546786324hjk4

jnHHGbvbmKLJKjhkqj4w/WIN -BUGSFIX.exe

http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5

hfFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe

http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLH

jkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqweb

mznxcbvnmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe

另外该病毒还在IE的下载目录中搜索名为WIN-BUGSFIX.exe的文件，如果该文件不存在，则修改ＩＥ的默认启始页面为“about:blank”，并修改注册表键值： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGSFIX为WIN-BUGSFIX.exe。 }

“VBS.ILOVEYOU”是用Vbscript脚本语言编写的，它被运行后可以将自身病毒代码进行复制，并用复制的病毒代码覆盖某些后缀的文件，造成这些文件被破坏。因此“VBS.ILOVEYOU”是一种计算机病毒。根据对其病毒代码的分析，它可以通过电子邮件自动发送一封名为“ILOVEYOU”的邮件，并且将病毒代码作为邮件的附件。但是，我们在中文平台通过激活病毒进行传染破坏实验，其自动发送邮件的代码不能正常执行。

• ·袁隆平星
• ·雷鸣潜舰
• ·Happy99病毒
• ·巴金星
• ·查刘璧如星
• ·曹光彪星
• ·Sub7病毒
• ·王宽诚星
• ·李达三星
• ·miniexplore蠕虫