VBS.Plan.A
病毒名称:VBS.Plan.A
其它名称:VBS.Loveletter.AS, VBS.Loveletter.BJ
病毒属性:蠕虫病毒 危害性:低危害 流行程度:低
具体介绍:
Plan.A 是一个新的通过电子邮件传播的蠕虫病毒,在美国的很多地区都发现了该病毒。该蠕虫通过Microsoft Outlook 的e-mail传播,它以一个e-mail的方式达到你的系统,邮件主题或者是随机产生的,或是如下的内容:
US PRESIDENT AND FBI SECRETS =PLEASE VISIT =>(http: //WWW.2600.COM)<=
(注:美国总统和美国联邦调查局的秘密=请访问=>(http: //WWW.2600.COM)<=)
邮件主体内容也可能是随机产生的或是如下内容:
VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PICTURES..
电子邮件中包含了一个附件文件,文件名及扩展名".GIF.vbs", ".BMP.vbs", 或 ".JPG.vbs"是随机产生的,扩展名VBS是否显示依赖于系统的设置。
一旦病毒被激活,蠕虫的三个副本(如下)将驻留到系统中:
WindowsSystemLINUX32.vbs
Windows
eload.vbs
WindowsSystem(randomly generated filename)(随机产生的文件名)
以下的注册关键字是为文件LINUX32.vbs和reload.vbs文件创建的,以便Windows下次启动时能运行这两个文件:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunLINUX32WindowsSystemLINUX32.vbs"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
eloadWindows
eload.vbs"
注:系统目录和windows目录将被改变,以与染毒机器的设置相匹配。
如果染毒机器存在"WinFAT32.exe"文件(这个文件是由VBS/LoveLetter.A蠕虫病毒下载的),Plan.A修改了IE浏览器的启动页,使它能下载以下三个文件中的一个:macromedia32.zip, linux321.zip, or linux322.zip。
以下扩展名的文件将被蠕虫的副本替代,且增加"VBS"扩展名。例如:test.hta 文件将变成 test.hta.vbs。被蠕虫覆盖的文件扩展名为:vbs、vbe、js、jse、css、wsh、sct、hta、jpg、jpeg。MP3 和 MP2的文件将被蠕虫标记成隐含文件(hidden),并被蠕虫的副本替代,使用的是原文件名加VBS扩展名。
在9月17日,将显示一条消息:
Dedicated to my best brother=>Christiam Julian(C.J.G.S.) Att. (M.H.M. TEAM)
(注:献给我最好的哥哥=> Christiam Julian(C.J.G.S.) Att (M.H.M. TEAM) )
然后,所有的网络驱动器(映射驱动器)将被断开。