背景資料
由於是通過
電子郵件系統傳播,“我愛你”病毒在很短的時間內就襲擊了全球無以數計的電腦,並且,從被感染的
電腦系統來看,“愛蟲”病毒的襲擊對象並不是普通的計算機用戶,而是那些具有高價值IT資源的電腦系統:
美國國防部的多個安全部門、中央情報局、
英國國會等政府機構及多個跨國公司的電子郵件系統遭到襲擊。
據稱:“愛蟲”病毒是迄今為止發現的傳染速度最快而且傳染面積最廣的
計算機病毒,它已對全球包括股票經紀、食品、媒體、汽車和技術公司以及大學甚至醫院在內的眾多機構造成了負面影響。
變種
在瘋狂的“愛蟲”病毒被發現當天不久,冠群金辰的全球病毒監測網發現,該病毒為了誘惑更多的網路用戶上當,現又生成另外一種變型病毒,帶有這種病毒的電子郵件主題詞中往往帶有“笑話”一詞,以引誘用戶打開郵件。預計,在未來幾天之內“我愛你”病毒還會生成更多種類的變型病毒。
此次被冠群金辰公司發現的這種新變型除了在
電子郵件的主題詞中寫有“笑話”一詞以外,其附屬檔案中還帶有一個名為“特別可笑”的資料夾。為此,冠群金辰特提醒廣大網路用戶千萬不要打開任何帶有上述標誌的電子郵件並應立即將之刪除。同時,冠群金辰提醒計算機用戶要及時升級KILL反病毒
軟體,因為KILL最新病毒庫版本已可查殺此病毒。
分類
VBS/LoveLetter.A 蠕蟲的檢測與清除
北京冠群金辰公司的KILL11.16版本已經可以檢測 VBS/LoveLetter.A
蠕蟲的所有組成部分。要清除被感染的系統,必須刪除所有發現的帶毒檔案,而且必須刪除以上提及的所有註冊表中的鍵值。
VBS/LoveLetter.A 蠕蟲家族
自從VBS/LoveLetter.A
蠕蟲出現後,已經有幾個變種出現,下面是所有已知變種的特徵描述。KILL11.20版本已經包括了所有變種的檢測代碼,並加上LoveLetter
蠕蟲家族的檢測代碼,以便可能檢測未來出現的變種。
VBS/LoveLetter.A 蠕蟲
郵件主題:ILOVEYOU
郵件附屬檔案名: LOVE-LETTER-FOR-YOU.TXT.vbs
HTML 檔案: LOVE-LETTER-FOR-YOU.HTM
駐留檔案: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
下載檔案:WIN-BUGSFIX.exe
覆蓋的
檔案擴展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
VBS/LoveLetter.B (又名 VeryFunny) 蠕蟲
郵件主題:Very Funny.vbs
郵件附屬檔案:Joke
HTML 檔案: Very Funny.HTM
駐留檔案:MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
下載檔案:WIN-BUGSFIX.exe
覆蓋的檔案擴展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
郵件主體內容:
無
VBS/LoveLetter.C 蠕蟲
郵件主題:Susitikim shi vakara kavos puodukui...
郵件附屬檔案:LOVE-LETTER-FOR-YOU.TXT.vbs
HTML檔案: LOVE-LETTER-FOR-YOU.HTM
駐留檔案: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
下載檔案: WIN-BUGSFIX.exe
覆蓋的檔案擴展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
郵件主體內容:
kindly check the attached LOVELETTER coming from me.(意為:請查收我用附屬檔案給您傳送的情書)
VBS/LoveLetter.D 蠕蟲
郵件主題:Mothers Day Order Confirmation
郵件附屬檔案: mothersday.vbs
HTML 檔案: mothersday.HTM
駐留檔案:MSKernel32.vbs Win32DLL.vbs
下載檔案:無
覆蓋檔案擴展名:vbs vbe js jse css wsh sct hta ini bat mp3 mp2
郵件主體內容:
We have proceeded to charge your credit
card for the amount of $326.92 for the
mothers day diamond special.
We have attached a detailed invoice to
this email. Please print out the attachment
and keep it in a safe place.Thanks Again and
Have a Happy Mothers Day!
(意為:我們從您的信用卡中收取了$326.92,用於支付母親節的特別鑽石。詳細發票請見郵件附屬檔案,請將其列印出來,並保管在安全的地方。再次表示感謝,母親節快樂!)
VBS/LoveLetter.E 蠕蟲
郵件主題: Important ! Read carefully !!
郵件附屬檔案:IMPORTANT.TXT.vbs
HTML 檔案: LOVE-LETTER-FOR-YOU.HTM
系統駐留檔案: ESKernel32.vbs ES32DLL.vbs WinFAT32.exe
下載檔案:WIN-BUGSFIX.exe
覆蓋
檔案擴展名: vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
郵件主體內容:
Check the attached IMPORTANT coming from me !(意為:請查收我在附屬檔案中給您傳送的重要信息。)
VBS/LoveLetter.F 蠕蟲
郵件主題:Dangerous Virus Warning
郵件附屬檔案:virus_warning.jpg.vbs
HTML 檔案:Urgent_virus_warning.htm
系統駐留檔案:MSKernel32.vbs Win32DLL.vbs
下載檔案:setup24.exe
覆蓋
檔案擴展名:js jse css wsh sct hta wav txt gif doc htm html xls jpg
jpeg mp3 mp2
郵件主體內容:
There is a dangerous virus
circulating. Please click attached picture to view it and learn to avoid it.(意為:危險病毒正在大肆傳播。請點擊查看附屬檔案中的圖畫,以避免感染。)
VBS/LoveLetter.G 蠕蟲
郵件主題:Virus ALERT!!!
郵件附屬檔案:protect.vbs
HTML檔案: protect.HTM
系統駐留檔案: MSKernel32.vbs Win32DLL.vbs
下載檔案:無
覆蓋檔案擴展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2 com bat
郵件主體內容:
Dear Symantec customer,
Symantec's AntiVirus Research Center began receiving reports regarding VBS.LoveLetter.A virus early morning on May 4, 2000 GMT.This worm appears to originate from the Asia Pacific region. Distribution of the virus is widespread and hundreds of thousands of machines are reported infected.
The VBS.LoveLetter.A is an Internet worm that uses Microsoft Outlook to e-mail itself as an attachment.
The subject line of the e-mail reads ILOVEYOU, with the attachment titled LOVE-LETTER-FOR-YOU.TXT.VBS. Once the attachment is opened, the virus replicates and sends an e-mail to all e-mail addresses listed in the address book. The virus also spreads itself via Internet relay chat and infects files on local and remote drives including files with extensions vbs, vbe, js, sje, css, wsh, sct, hta, jpg, jpeg, mp3, mp2.
Users should exercise caution when opening e-mails with this subject line, even if the e-mail is from someone they know, as that is how the virus is spread.
Symantec Corp. today announced availability of the virus definition to detect, repair and protect users against the VBS.LoveLetter.A virus.
This definition is available now via Symantec's LiveUpdate and can also be downloaded from the following web sites:
" Also as a quick solution Symantec Corp. Offers Visual Basic Script to protect your PC against
this worm. (See attached.)
Note! When executed, this script will protect Your PC from being INFECTED by VBS.LoveLetter.A virus.
Symantec Corporation - a world leader in internet security technology.
郵件內容意為:
格林威治時間2000年5月4日早晨,
賽門鐵克的反病毒研究中心(AntiVirus Research Center)收到許多關於VBS.LoveLetter.A病毒的報告。這一病毒來自
亞太地區,它正廣泛傳播,已有數十萬台計算報告感染該病毒。
VBS.LoveLetter.A是一種Internet病毒,它把自己作為Microsoft Outlook
電子郵件的附屬檔案進行傳播。
郵件主題為“ILOVEYOU”,附屬檔案為LOVE-LETTER-FOR-YOU.TXT.VBS。附屬檔案一旦打開,該病毒即複製自身,通過
電子郵件傳送給地址薄中的所有人。該病毒還可通過Internet聊天傳播,並感染本地/遠程驅動器上擴展名為vbs, vbe, js, sje, css, wsh, sct, hta, jpg, jpeg, mp3, mp2的檔案。
用戶在打開這一主題的電子郵件時務必提高警惕,即便這封電子郵件來自他們所認識的人,這正是這一病毒得以大肆傳播的原因。
用戶可通過
賽門鐵克的LiveUpdate獲得最新病毒特徵庫,也可從網站下載。
賽門鐵克公司還提供了快捷的解決方案,請見附屬檔案的Visual Basic Script。
註:當執行時,該程式將保護您的機器免遭VBS.LoveLetter.A virus感染。
VBS/LoveLetter.H 蠕蟲
郵件主題:Bewerbung Kreolina
郵件附屬檔案:BEWERBUNG.TXT.vbs
HTML 檔案:BEWERBUNG.HTM
系統駐留檔案:MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
下載檔案:WIN-BUGSFIX.exe
覆蓋檔案擴展名: vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
郵件主體內容:
Sehr geehrte Damen und Herren!
Note: German, pretending to be a resume.(意為:註:德文,冒充簡歷)
VBS/LoveLetter.I 蠕蟲
郵件主題:Important ! Read carefully !!
附屬檔案: IMPORTANT.TXT.vbs
HTML檔案:LOVE-LETTER-FOR-YOU.HTM
系統駐留檔案:ESKernel32.vbs ES32DLL.vbs WinFAT32.exe
下載檔案:WIN-BUGSFIX.exe
覆蓋檔案擴展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
郵件主體內容:
Check the attached IMPORTANT coming from me !
Note: Internal differences to the E variant in the code.
(意為:請查收我在附屬檔案中給您傳送的重要信息。
註:在代碼上與E變種的內部有所不同。)
細節分析
VBS/LoveLetter.A 蠕蟲的特徵(見圖)
VBS/LoveLetter.A 是一個基於 e-mail 的VBS(Visual Basic Script)
蠕蟲,它以一個電子郵件的附屬檔案到達您的信箱(見圖),郵件的主題是 ILOVEYOU(全大寫,無空格)。
e-mail 的正文:
請儘快查收來自我的郵件附屬檔案的LOVELETTER。
e-mail 帶有名為 LOVE-LETTER-FOR-YOU.TXT.vbs 的附屬檔案。.VBS擴展名是否顯示,依賴於系統的設定。
如果您收到了一封與以上所述相符的e-mail,您不要打開郵件的附屬檔案,並立即刪除e-mail。
LoveLetter
蠕蟲通過產生如上所述的e-mail 傳播,蠕蟲自身作為郵件的附屬檔案,且傳送給在Outlook 通訊簿中的所有收件人。在大的機構中,產生的大量e-mail 可能會使
電子郵件伺服器超載,處於癱瘓狀態。
LoveLetter
蠕蟲傳播的目標是Windows 98, 預設安裝的Windows 2000 和
Windows NT 4.0以及安裝了Windows Scripting Host(WSH)引擎的Windows 95系統。
蠕蟲使用不同的名字將自身複製到多重子目錄中:
在Windows目錄中的檔案名稱是Win32DLL.vbs,在\Windows\system目錄中的檔案名稱為MSKernel32.vbs 和 LOVE-LETTER-FOR-YOU.TXT.vbs。
LoveLetter
蠕蟲修改註冊表信息,以便它在下次啟動時能運行:
HKElkjhflkafkljhsajdkhfkajshfklafhlkajfhs
C:\WINDOWS\SYSTEM\MSKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win
32DLL=C:\WINDOWS\Win32DLL.vbs
蠕蟲還設定預設的IE(Internet Explorer)主頁,下載WIN_BUGFIX.exe 檔案的一個副本,該檔案看起來是一個“後門伺服器”(backdoor server)。該檔案在Web上真實的位置目前是關閉的。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinFAT32=C:\WINDOWS\SYSTEM\WinFAT32
LoveLetter
蠕蟲搜尋所有的子目錄,並用自身的副本覆蓋(overwrite)擴展名為JPG, VBS, JS, JSE, CSS, WSH, SCT, HTA, MP3和MP2 的所有檔案,給無VBS(non-VBS)後綴的檔案名稱添加VBS擴展名。如:一個名為的檔案將變為。下一次染毒檔案被點擊或被激活,
蠕蟲將開始傳播。
如果IRC(線上聊天系統)客戶在系統中出現,LoveLetter
蠕蟲將產生一個
HTML檔案,將自身傳送到IRC通道中。
預防
愛蟲病毒的厲害之處在於,它能夠通過Microsoft Outlook自動向被感染者地址簿中所有郵件傳送病毒,造成網路系統崩潰。此病毒與去年曾一度鬧的人心惶惶的美麗殺手(即Melissa,梅麗莎病毒)病毒有類似的傳播手段。相比較而言,此病毒的感染性更強,它可尋找本地驅動器和
映射驅動器,並在系統所有目錄和子目錄中搜尋可以感染的目標。這也是此病毒能夠在美麗殺手爆發一年後,再次造成全球大面積
網路癱瘓的一個重要原因。
冠群金辰認為21世紀網路的發展為企業和個人孕育著無限的商機,但是,伴隨網路接踵而來的
黑客大肆攻擊網站事件、
蠕蟲病毒導致嚴重
網路癱瘓事件,已經不斷向人們敲響了網路安全的警鐘。據冠群金辰對當前病毒傳播手段的統計表明,企業當前面臨的網路不安全因素主要源於
郵件系統;而對個人用戶構成最大、最多威脅的病毒也多通過郵件、網路進行傳播,以“美麗殺手”“ZIP
蠕蟲”“愛蟲”等大量通過網際網路郵件系統自動的病毒呈現出爆發頻率加快的態勢。因此,作為一個反毒廠家目前要作到的就是從企業內部的每一個可能傳播病毒的計算機和伺服器進行防護,特別值得指出的是,針對
郵件系統的安全防護已經成為企業目前必須解決網路的安全問題。並且企業級的
網路安全產品必須具備優秀先進的實時防護技術,全平台防護技術,同時安全產品應針對病毒、
蠕蟲這些頻繁出現的不安全因素提供病毒快速捕捉及
病毒庫升級功能,即具備全球病毒監測及全國服務網的能力。
針對目前企業受到
郵件病毒爆發的威脅的情況,冠群金辰推出了一系列專門針對企業用戶的套裝組合,在此套裝組合中,冠群金辰公司將的KILL for Microsoft Exchange和KILL for Lotus Notes兩種唯一通過公安部評測的郵件
群件防護
軟體與KILL網路版的伺服器端產品和
客戶端產品無縫集成在一起,為用戶提供先進的病毒檢測技術、通過對伺服器、
郵件伺服器、客戶端的3位一體全面防護,從而達到自動發現,自動報警,自動清除所有通過網路傳播的病毒的功能,時時刻刻全方位保護用戶的郵件及檔案系統,確保用戶不會受到“愛蟲”一類病毒困擾。企業的網路將能夠真正構架起安全的樓宇。