 |
“我爱你”病毒分析报告 |
|
|
| “我爱你”病毒分析报告 |
|
| 作者:未知 文章来源:365收集 点击数: 更新时间:2007-8-17 1:46:04 |
|
是否当前流行:是
发作日:每天
发作症状:通过E-mail扩散,破坏特定扩展名的文件,并使邮件系统变慢,甚至导致网络系统崩溃可查杀该病毒的瑞星杀毒软件版本:11.03
发作平台:Windows 9x/NT
病毒大小:10,307字节
病毒来源: 该病毒怀疑源自菲律宾的马尼拉的“spyder of the @GRAMMERSoft Group”组织该病毒可感染安装了Windows Scripting Host(WSH)的Windows 9x或NT系统,该病毒感染力极强,可寻找本地驱动器和映射驱动器,并在所有的目录和子目录中搜索可以感染的目标。
该病毒感染扩展名为"vbs", "vbe", "js", "jse", "css", "wsh", "sct","hta", "jpg", "jpeg", "mp3"和"mp2"等十二种类型文件,当病毒找到有以上扩展名的文件时,用病毒代码覆盖文件原来的内容,并将后缀修改为vbs或加上.vbs后缀,随后毁掉宿主文件,破坏了这些数据文件原始内容。 作为蠕虫,该病毒传播机理和“梅莉莎”类似,通过Microsoft Outlook发送带附件名为“LOVE-LETTER-FOR-YOU.TXT.vbs”的邮件给用户地址簿里所有的地址来传播的,主题为“I LOVE YOU”(译:我爱你),主体为“kindly check the attached LOVELETTER coming from me(译:请您收下这份情书)”,另外一个带毒的附件。
一旦病毒运行,将会在windows目录中生成以下文件:
Win32DLL.vbs在windows目录的system子目录中生成以下文件:
MSKernel32.vbs
LOVE-LETTER-FOR-YOU.TXT.vbs.
该病毒还修改注册表中的一些路径以达到Windows启动时自动运行的目的,增加注册表键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32为\windows\system \MSKernel32.vbs HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL为\windows\Win32DLL.vbs该病毒在\windows\system的子目录下查找名为WinFAT32.exe的文件,然后将IE默认的启始页随机修改为以下站点之一: http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/WIN- BUGSFIX.exe
http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN -BUGSFIX.exe
http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe
http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbv nmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe
另外该病毒还在IE的下载目录中搜索名为WIN-BUGSFIX.exe的文件,如果该文件不存在,则修改IE的默认启始页面为“about:blank”,并修改注册表键值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX为WIN-BUGSFIX.exe。[瑞星公司]
|
|
|
|
| 文章录入:郝丽 责任编辑:郝丽 |
|
|
上一篇文章: U盘流行病毒分析及清除方法
下一篇文章: 没有了 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
