愛蟲病毒(Vbs.loveletter),，又稱“我愛你”(I Love You)病毒,，是一種蠕蟲病毒，它與1999年的梅麗莎病毒非常相似,。據(jù)稱,，這個病毒可以改寫本地及網(wǎng)絡(luò)硬盤上面的某些文件。用戶機器染毒以后,，郵件系統(tǒng)將會變慢,，并可能導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)崩潰,，當時在全球更是造成了百億美元的損失,。

2000年5月4日，一種名為“我愛你”的電腦病毒開始在全球各地迅速傳播,，短短的一兩天內(nèi)就侵襲了100多萬臺計算機,。這個病毒是通過Microsoft Outlook電子郵件系統(tǒng)傳播的，郵件的主題為“I LOVE YOU”,，并包含一個附件,。一旦在Microsoft Outlook里打開這個郵件，系統(tǒng)就會自動復(fù)制并向地址簿中的所有郵件電址發(fā)送這個病毒,。

背景資料

由于是通過電子郵件系統(tǒng)傳播,，“我愛你”病毒在很短的時間內(nèi)就襲擊了全球無以數(shù)計的電腦，并且,，從被感染的電腦系統(tǒng)來看,，“愛蟲”病毒的襲擊對象并不是普通的計算機用戶,，而是那些具有高價值IT資源的電腦系統(tǒng)：美國國防部的多個安全部門、中央情報局,、英國國會等政府機構(gòu)及多個跨國公司的電子郵件系統(tǒng)遭到襲擊,。

據(jù)稱：“愛蟲”病毒是迄今為止發(fā)現(xiàn)的傳染速度最快而且傳染面積最廣的計算機病毒，它已對全球包括股票經(jīng)紀,、食品,、媒體、汽車和技術(shù)公司以及大學(xué)甚至醫(yī)院在內(nèi)的眾多機構(gòu)造成了負面影響,。

變種

在瘋狂的“愛蟲”病毒被發(fā)現(xiàn)當天不久,，冠群金辰的全球病毒監(jiān)測網(wǎng)發(fā)現(xiàn)，該病毒為了誘惑更多的網(wǎng)絡(luò)用戶上當,，現(xiàn)又生成另外一種變型病毒,，帶有這種病毒的電子郵件主題詞中往往帶有“笑話”一詞，以引誘用戶打開郵件,。預(yù)計,，在未來幾天之內(nèi)“我愛你”病毒還會生成更多種類的變型病毒。

此次被冠群金辰公司發(fā)現(xiàn)的這種新變型除了在電子郵件的主題詞中寫有“笑話”一詞以外,，其附件中還帶有一個名為“特別可笑”的文件夾,。為此，冠群金辰特提醒廣大網(wǎng)絡(luò)用戶千萬不要打開任何帶有上述標志的電子郵件并應(yīng)立即將之刪除,。同時,，冠群金辰提醒計算機用戶要及時升級KILL反病毒軟件，因為KILL最新病毒庫版本已可查殺此病毒,。

分類

VBS/LoveLetter.A 蠕蟲的檢測與清除

北京冠群金辰公司的KILL11.16版本已經(jīng)可以檢測 VBS/LoveLetter.A蠕蟲的所有組成部分,。要清除被感染的系統(tǒng)，必須刪除所有發(fā)現(xiàn)的帶毒文件,，而且必須刪除以上提及的所有注冊表中的鍵值,。

VBS/LoveLetter.A 蠕蟲家族

自從VBS/LoveLetter.A蠕蟲出現(xiàn)后，已經(jīng)有幾個變種出現(xiàn),，下面是所有已知變種的特征描述,。KILL11.20版本已經(jīng)包括了所有變種的檢測代碼，并加上LoveLetter蠕蟲家族的檢測代碼,，以便可能檢測未來出現(xiàn)的變種,。

VBS/LoveLetter.A 蠕蟲

郵件主題：ILOVEYOU（我愛你）

郵件附件名：LOVE-LETTER-FOR-YOU.TXT.vbs

HTML 文件：LOVE-LETTER-FOR-YOU.HTM

駐留文件：MSKernel32.vbs Win32DLL.vbs WinFAT32.exe

下載文件：WIN-BUGSFIX.exe

覆蓋的文件擴展名：vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2

VBS/LoveLetter.B (又名 VeryFunny) 蠕蟲

郵件主題：Very Funny（很有趣）.vbs

郵件附件：Joke

HTML 文件：Very Funny.HTM

駐留文件：MSKernel32.vbs Win32DLL.vbs WinFAT32.exe

下載文件：WIN-BUGSFIX.exe

覆蓋的文件擴展名：vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2

郵件主體內(nèi)容：

無

VBS/LoveLetter.C 蠕蟲

郵件主題：Susitikim shi vakara kavos puodukui...

郵件附件：LOVE-LETTER-FOR-YOU.TXT.vbs

HTML文件：LOVE-LETTER-FOR-YOU.HTM

駐留文件：MSKernel32.vbs Win32DLL.vbs WinFAT32.exe

下載文件：WIN-BUGSFIX.exe

覆蓋的文件擴展名：vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2

郵件主體內(nèi)容：

kindly check the attached LOVELETTER coming from me.（意為：請查收我寄來的情書。）

VBS/LoveLetter.D 蠕蟲

郵件主題：Mothers Day Order Confirmation（母親節(jié)訂單確認）

郵件附件：mothersday.vbs

HTML 文件：mothersday.HTM

駐留文件：MSKernel32.vbs Win32DLL.vbs

下載文件：無

覆蓋文件擴展名：vbs vbe js jse css wsh sct hta ini bat mp3 mp2

郵件主體內(nèi)容：

We have proceeded to charge your credit

card for the amount of $326.92 for the

mothers day diamond special.

We have attached a detailed invoice to

this email. Please print out the attachment

and keep it in a safe place.Thanks Again and

Have a Happy Mothers Day!

（意為：我們從您的信用卡中收取了$326.92,，用于支付母親節(jié)的特別鉆石,。我們在這封電子郵件中附上了詳細的發(fā)票。請把附件打印出來，放在安全的地方,。再次感謝您,，祝您母親節(jié)快樂！）

VBS/LoveLetter.E 蠕蟲

郵件主題：Important! Read carefully !!（重要,！仔細閱讀?。。?/p>

郵件附件：IMPORTANT.TXT.vbs

HTML文件：LOVE-LETTER-FOR-YOU.HTM

系統(tǒng)駐留文件：ESKernel32.vbs ES32DLL.vbs WinFAT32.exe

下載文件：WIN-BUGSFIX.exe

覆蓋文件擴展名：vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2

郵件主體內(nèi)容：

Check the attached IMPORTANT coming from me!（意為：檢查附件中來自我的重要信息?。?/p>

VBS/LoveLetter.F 蠕蟲

郵件主題：Dangerous Virus Warning（危險病毒警告）

郵件附件：virus_warning.jpg.vbs

HTML文件：Urgent_virus_warning.htm

系統(tǒng)駐留文件：MSKernel32.vbs Win32DLL.vbs

下載文件：setup24.exe

覆蓋文件擴展名：js jse css wsh sct hta wav txt gif doc htm html xls jpg

jpeg mp3 mp2

郵件主體內(nèi)容：

There is a dangerous virus circulating. Please click the attached picture to view it and learn to avoid it.

（意為：有一種危險的病毒在傳播,。請點擊所附圖片查看并學(xué)會避免。）

VBS/LoveLetter.G 蠕蟲

郵件主題：Virus al ert!!!（病毒警報?。,。。?/p>

郵件附件：protect.vbs

HTML文件：protect.HTM

系統(tǒng)駐留文件：MSKernel32.vbs Win32DLL.vbs

下載文件：無

覆蓋文件擴展名：vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2 com bat

郵件主體內(nèi)容：

Dear Symantec customer,

Symantec's AntiVirus Research Center began receiving reports regarding VBS.LoveLetter.A virus early morning on May 4, 2000, GMT. This worm appears to originate from the Asia Pacific region. Distribution of the virus is widespread and hundreds of thousands of machines are reported infected.

The VBS.LoveLetter.A is an Internet worm that uses Microsoft Outlook to e-mail itself as an attachment.

The subject line of the e-mail reads ILOVEYOU, with the attachment titled LOVE-LETTER-FOR-YOU.TXT.VBS. Once the attachment is opened, the virus replicates and sends an e-mail to all e-mail addresses listed in the address book. The virus also spreads itself via Internet relay chat and infects files on local and remote drives including files with extensions vbs, vbe, js, sje, css, wsh, sct, hta, jpg, jpeg, mp3, mp2.

Users should exercise caution when opening e-mails with this subject line, even if the e-mail is from someone they know, as that is how the virus is spread.

Symantec Corp. today announced the availability of the virus definition to detect, repair and protect users against the VBS.LoveLetter.A virus.

This definition is available now via Symantec's LiveUpdate and can also be downloaded from the following web sites:

" Also as a quick solution Symantec Corp. Offers Visual Basic Script to protect your PC against this worm. (See attached.)

Note! When executed, this script will protect Your PC from being INFECTED by VBS.LoveLetter.A virus.

Symantec Corporation - a world leader in internet security technology.

郵件內(nèi)容意為：

尊敬的賽門鐵克客戶：

賽門鐵克的反病毒研究中心于2000年5月4日格林尼治時間清晨開始收到有關(guān)VBS.LoveLetter的報告,。這種病毒似乎來自亞太地區(qū),。病毒的分布很廣，據(jù)報道有幾十萬臺機器被感染,。

VBS.LoveLetter.A是一個Internet蠕蟲,，它使用Microsoft Outlook將自己作為附件發(fā)送電子郵件。

電子郵件的主題行是iloveu,，附件名為LOVE-LETTER-FOR-YOU.TXT.VBS,。一旦附件打開，病毒就會復(fù)制并向通訊簿中列出的所有電子郵件地址發(fā)送電子郵件,。該病毒還通過互聯(lián)網(wǎng)中繼聊天傳播,，感染本地和遠程驅(qū)動器上的文件，包括擴展名為vbs,、vbe,、js、sje,、css,、wsh、sct,、hta,、jpg,、jpeg,、mp3、mp2的文件,。

用戶在打開帶有此主題行的電子郵件時應(yīng)謹慎,，即使電子郵件來自他們認識的人，因為這就是病毒的傳播方式。

賽門鐵克公司今天宣布提供病毒定義,，以檢測,、修復(fù)和保護用戶免受VBS.LoveLetter.A病毒的侵害。

此定義現(xiàn)在可以通過Symantec的LiveUpdate獲得,，也可以從以下網(wǎng)站下載：

“同時作為一個快速解決方案,，賽門鐵克公司（Symantec Corp.）提供了Visual Basic腳本來保護您的電腦免受此蠕蟲的侵害。（見附件,。）

注意,！執(zhí)行時，此腳本將保護您的電腦不被VBS.LoveLetter.A病毒感染,。

賽門鐵克公司-互聯(lián)網(wǎng)安全技術(shù)的世界領(lǐng)先者,。

VBS/LoveLetter.H 蠕蟲

郵件主題：Bewerbung Kreolina

郵件附件：BEWERBUNG.TXT.vbs

HTML文件：BEWERBUNG.HTM

系統(tǒng)駐留文件：MSKernel32.vbs Win32DLL.vbs WinFAT32.exe

下載文件：WIN-BUGSFIX.exe

覆蓋文件擴展名： vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2

郵件主體內(nèi)容：

Sehr geehrte Damen und Herren!

（意為：女士們先生們！）

VBS/LoveLetter.I 蠕蟲

郵件主題：Important! Read carefully !!（重要,！仔細閱讀?。。?/p>

附件： IMPORTANT.TXT.vbs

HTML文件：LOVE-LETTER-FOR-YOU.HTM

系統(tǒng)駐留文件：ESKernel32.vbs ES32DLL.vbs WinFAT32.exe

下載文件：WIN-BUGSFIX.exe

覆蓋文件擴展名：vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2

郵件主體內(nèi)容：

Check the attached IMPORTANT coming from me!

（意為：檢查附件中來自我的重要信息?。?/p>

細節(jié)分析

VBS/LoveLetter.A 是一個基于 e-mail 的VBS（Visual Basic Script）蠕蟲,，它以一個電子郵件的附件到達您的郵箱(見圖)，郵件的主題是 ILOVEYOU（全大寫,，無空格）,。

e-mail 的正文：

請盡快查收來自我的郵件附件的LOVELETTER。

e-mail 帶有名為 LOVE-LETTER-FOR-YOU.TXT.vbs的附件,。.VBS擴展名是否顯示,，依賴于系統(tǒng)的設(shè)置。

如果您收到了一封與以上所述相符的e-mail,，您不要打開郵件的附件,，并立即刪除e-mail。

LoveLetter蠕蟲通過產(chǎn)生如上所述的e-mail傳播,，蠕蟲自身作為郵件的附件,，且發(fā)送給在Outlook通訊簿中的所有收件人。在大的機構(gòu)中,，產(chǎn)生的大量e-mail可能會使電子郵件服務(wù)器超載,，處于癱瘓狀態(tài)。

LoveLetter蠕蟲傳播的目標是Windows 98,，缺省安裝的Windows 2000 和Windows NT 4.0以及安裝了Windows Scripting Host(WSH)引擎的Windows 95系統(tǒng),。蠕蟲使用不同的名字將自身復(fù)制到多重子目錄中：

在Windows目錄中的文件名是Win32DLL.vbs，在Windowssystem目錄中的文件名為MSKernel32.vbs 和 LOVE-LETTER-FOR-YOU.TXT.vbs,。

LoveLetter蠕蟲修改注冊表信息,，以便它在下次啟動時能運行：

HKElkjhflkafkljhsajdkhfkajshfklafhlkajfhs

C:WINDOWSSYSTEMMSKernel32.vbs

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesWin

32DLL=C:WINDOWSWin32DLL.vbs

蠕蟲還設(shè)置缺省的IE（Internet Explorer）主頁,，下載WIN_BUGFIX.exe文件的一個副本，該文件看起來是一個“后門服務(wù)器”（backdoor server）,。該文件在Web上真實的位置目前是關(guān)閉的,。 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunWinFAT32=C:WINDOWSSYSTEMWinFAT32

LoveLetter蠕蟲搜索所有的子目錄，并用自身的副本覆蓋（overwrite）擴展名為JPG, VBS, JS, JSE, CSS, WSH, SCT, HTA, MP3和MP2的所有文件,，給無VBS（non-VBS）后綴的文件名添加VBS擴展名,。如：一個名為的文件將變?yōu)椤Ｏ乱淮稳径疚募稽c擊或被激活,，蠕蟲將開始傳播,。

如果IRC（在線聊天系統(tǒng)）客戶在系統(tǒng)中出現(xiàn)，LoveLetter蠕蟲將產(chǎn)生一個HTML文件,，將自身發(fā)送到IRC通道中,。

預(yù)防

1．接到電子郵件后首先要做的是先仔細檢查電子郵件的附件，不要點擊任何帶有后綴為.vbs文件或在附件上有像“屏幕移動”一樣的圖標的附件,。同時在計算機中要具有一種以上的實時防病毒軟件并且經(jīng)常更新病毒代碼庫,，這樣在下載郵件或打開附件時實時查毒。

2.你也可以通過關(guān)閉你計算機中Windows Scripting Host的來防止病毒進入你的計算機,。（Windows Scripting Host編寫腳本作用是用來幫助Windows程序自動執(zhí)行,。）使你的計算機免疫。

在Windows98中,，方法是按開始菜單,，選擇設(shè)置選項中的控制面板。雙擊控制面板上的添加/刪除程序,。選擇Windows組件或Windows安裝程序,，雙擊附件選項，在列表中單擊Windows Scripting Host清除復(fù)選框,。

ILOVEYOU,，Melissa和NewLove等病毒都需要借助于Windows Scripting Host來繁殖傳播。但是很少有人在日常工作中需要Windows Scripting Host,。因此去掉它不會對你生活學(xué)習(xí)造成影響,，而且可以起到預(yù)防免疫的作用。

總結(jié)

愛蟲病毒的厲害之處在于,，它能夠通過Microsoft Outlook自動向被感染者地址簿中所有郵件發(fā)送病毒,，造成網(wǎng)絡(luò)系統(tǒng)崩潰。此病毒與曾一度鬧的人心惶惶的美麗殺手（即Melissa,，梅麗莎病毒）病毒有類似的傳播手段,。相比較而言，此病毒的感染性更強,，它可尋找本地驅(qū)動器和映射驅(qū)動器,，并在系統(tǒng)所有目錄和子目錄中搜索可以感染的目標,。這也是此病毒能夠在美麗殺手爆發(fā)一年后,，再次造成全球大面積網(wǎng)絡(luò)癱瘓的一個重要原因,。

冠群金辰認為21世紀網(wǎng)絡(luò)的發(fā)展為企業(yè)和個人孕育著無限的商機，但是,，伴隨網(wǎng)絡(luò)接踵而來的黑客大肆攻擊網(wǎng)站事件,、蠕蟲病毒導(dǎo)致嚴重網(wǎng)絡(luò)癱瘓事件，已經(jīng)不斷向人們敲響了網(wǎng)絡(luò)安全的警鐘,。據(jù)冠群金辰對當前病毒傳播手段的統(tǒng)計表明,，企業(yè)當前面臨的網(wǎng)絡(luò)不安全因素主要源于郵件系統(tǒng)；而對個人用戶構(gòu)成最大,、最多威脅的病毒也多通過郵件,、網(wǎng)絡(luò)進行傳播，以“美麗殺手”“ZIP蠕蟲”“愛蟲”等大量通過互聯(lián)網(wǎng)郵件系統(tǒng)自動的病毒呈現(xiàn)出爆發(fā)頻率加快的態(tài)勢,。因此,，作為一個反毒廠家目前要作到的就是從企業(yè)內(nèi)部的每一個可能傳播病毒的計算機和服務(wù)器進行防護，特別值得指出的是,，針對郵件系統(tǒng)的安全防護已經(jīng)成為企業(yè)目前必須解決網(wǎng)絡(luò)的安全問題,。

針對目前企業(yè)受到郵件病毒爆發(fā)的威脅的情況，冠群金辰推出了一系列專門針對企業(yè)用戶的套裝組合,，在此套裝組合中,，冠群金辰公司將的KILL for Microsoft Exchange和KILL for Lotus Notes兩種唯一通過公安部評測的郵件群件防護軟件與KILL網(wǎng)絡(luò)版的服務(wù)器端產(chǎn)品和客戶端產(chǎn)品無縫集成在一起，為用戶提供先進的病毒檢測技術(shù),、通過對服務(wù)器,、郵件服務(wù)器、客戶端的3位一體全面防護,，從而達到自動發(fā)現(xiàn),，自動報警，自動清除所有通過網(wǎng)絡(luò)傳播的病毒的功能,，時時刻刻全方位保護用戶的郵件及文件系統(tǒng),，確保用戶不會受到“愛蟲”一類病毒困擾。企業(yè)的網(wǎng)絡(luò)將能夠真正構(gòu)架起安全的樓宇,。