ILOVEYOU病毒

【病毒名称】I LOVE YOU病毒

【病毒别名】情书病毒或Loveletter病毒

【警惕程度】★★★☆

【病毒类型】蠕虫病毒

【中毒症状】附档名为：*.mp3, *.vbs, *.jpg, *.jpeg, *.hta, *.vbe, *.js, *.jse....等十种文件格式的附档名会改为 *.vbs 。

【传播方式】

透过一封信件标题为 "ILOVEYOU"(我爱你) 的电子邮件散播，附件为 "LOVE-LETTER-FOR-YOU.txt.vbs" (献给你的情书)，信件内容 "kindly check the attached LOVE LETTER coming from me"。

【病毒危害 】

病毒会经由被感染者Outlook通讯簿的名单发出自动信件，藉以连锁性的大规模散播，造成企业mail server瘫痪。病毒发作时，会感染并覆写附档名为：*.mp3, *.vbs, *.jpg, *.jpeg, *.hta, *.vbe, *.js, *.jse....等十种文件格式；文件遭到覆写后，附档名会改为 *.vbs 。"VBS_LOVELETTER"病毒与美丽杀病毒的最大差异在于，美丽杀病毒只会对通讯簿的前50个名单发出垃圾邮件，而"VBS_LOVELETTER"病毒是向所有的通讯簿名单发出自动信件，其传播的速度比美丽杀病毒快上数倍，破坏力更为强大。它还大肆复制自身覆盖音乐和图片文件。更可气的是，它还会在受到感染的机器上搜索用户的账号和密码，并发送给病毒作者。

【感染步骤】

1.第一次打开病毒文件时,病毒会自动产生下列文件于windows目录中

windowsWin32DLL.vbs

systemMSKernel32.vbs

systemLOVE-LETTER-FOR-YOU.TXT.vbs.

systemLOVE-LETTER-FOR-YOU.TXT.ＨＴＭＬ.

2.当重新开机后.病毒并且会修改下列windows 登录值. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMSKernel32", :windowssystem MSKernel32.vbs

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL", :windowsWin32DLL.vbs.

3.在 :windowssystem 目录中寻找WinFAT32.exe. 如果文件存在即会修改Internet Explorer并开启特定网站中的 wiN-BUGSFIX.EXE

4.接下来病毒会在 :windowssystem 目录中，寻找 WIN-BUGSFIX.exe

如果文件不存在即会修改Internet Explorer起始划面变为 "about:blank" 并且修改WINDOWS登录值

5.这个病毒会利用 Microsoft Outlook扩散.并将"LOVE-LETTER-FOR-YOU.TXT.vbs" 附加于E-MAIL中并传送给个人通讯簿所记载的帐号 .其信件内容为:

主旨:ILOVEYOU.

内容:KINDLY CHECK THE ATTACHED LOVELETTER COMING FROM ME.

另外，病毒会开始篡改Mirc的 script.ini文件

如此会造成使用者利用mIRC，上网聊天时.病毒会自动呼叫dcc send 指令给同一个聊天室其它使用者并且将病文件传送给这些使用者，"LOVE-LETTER-FOR-YOU.HTM"

6.这个病毒会寻求以下附文件名的文件:

.vbs .vbe .js .jse .css .wsh .sct .hta .jpg .jpeg .mp3 .mp2

当找到时.会将病毒程序覆盖于文件中.并且将档名修改为 + .vbs. 的格式.导致文件无法正常执行.

【杀毒方法】

1.预防。

当收到信件标题为"ILOVEYOU"的电子邮件，应立即删除，切勿开启附件以免中毒。然后应立即删除，即使寄件者是你所熟悉的人名，也不要开启附加文件以免中毒。

2.自动杀毒。

1）安装杀毒软件，实行自动杀毒。

2）搜索ILoveYou病毒清除器。安装后杀毒。

3.手动杀毒

收到信件标题为"ILOVEYOU"的电子邮件，应立即删除，即使寄件者是你所熟悉的人名，也不要开启附加文件以免中毒。

1.点选开始=>执行 ╬躶躰ヤ上线

2.输入regedit

3.寻找下列路径并删除HKEY_LOCAL_machineSOFTWAREMicrosoftwindowscurrentVersionRunMSKernel32"

HKEY_LOCAL_machineSOFTWAREMicrosoftwindowscurrentVersionRunServicesWin32DLL"

HKEY_LOCAL_machineSOFTWAREMicrosoftwindowscurrentVersionRunWIN-BUGSFIX"

4.删除下列文件:

windowsWin32DLL.VBS

systemMSKernel32.VBS

systemLOVE-LETTER-FOR-YOU.TXT.VBS

systemLOVE-LETTER-FOR-YOU.TXT.ＨＴＭＬ.

• ·Backdoor/Agent.jaa
• ·蠕虫病毒Win32.Looked.FU
• ·TrojanDownloader.Small.
• ·特洛伊病毒Win32.Meyfew!gener
• ·TrojanSpy.Agent.ud
• ·Sub7
• ·Worm.Explore.Zip
• ·miniexplore
• ·硕美科SM-530
• ·许敏岐