“我爱你”病毒技术细节分析 _软件_科技时代

新浪首页 > 科技时代 > 软件 > 新浪科技 > 新闻报道

“我爱你”病毒技术细节分析
http://www.sina.com.cn 2000/05/06 12:06 新浪科技

　　是否当前流行：是

　　发作日：每天

　　发作模块：其他（Ｅ-mail扩散，破坏特定扩展名的文件）

　　可检测的病毒文件：695或更高版本

　　可查杀的扫描引擎：2.062或更高版本

　　语言：英语

　　发作平台：Windows 9x/NT

　　加密否：否

　　病毒大小：10,307 Bytes

　　详细信息：该病毒怀疑源自菲律宾的马尼拉的“spyder of the @GRAMMERSoft Gr oup”组织，感染安装了Windows Scripting Host（WSH）的Windows 9x或NT系统。

　　该病毒感染力极强，可寻找本地驱动器和映射驱动器，并在所有的目录和子目录中搜索可以感染的目标。

　　该病毒感染如下扩展名的文件："vbs", "vbe", "js", "jse", "css", "ws h", "sct","hta", "jpg", "jpeg", "mp3", or "mp2"，当蠕虫找到有以上扩展名的文件时，用病毒代码覆盖文件原来的内容，并将后缀修改为vbs，随后毁掉宿主文件。

　　一旦病毒运行，将会在系统中留下以下文件：

　　\windows\Win32DLL.vbs

　　\system\MSKernel32.vbs

　　\system\LOVE-LETTER-FOR-YOU.TXT.vbs.

　　该病毒还修改注册表中的一些路径以达到Windows启动时运行的目的，

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion\Run\MSKernel32",:\windows\system \MSKernel32. vbs HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion\RunServices\Win32DLL”, :\windows\\Win32DLL.vb s.该病毒在\windows\system的子目录下查找名为WinFAT32.exe的文件，然后将ＩＥ默认的启始页修改为以下站点之一： http://www.skyinet.net/~young1s/HJKhjnwerh jkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/WIN- BUGSFIX.exe

　　http://www.skyinet.net/~angelcat/skladjflfdjghKJnwe tryDGFikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN -BUGSFIX.exe

　　http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198v bFV5hfFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe

　　http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLH jkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbv nmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe

　　另外该病毒还在\windows\system 下搜索名为WIN-BUGSFIX.exe的文件，如果该文件不存在，则修改ＩＥ的默认启始页面为“about:blank”，修改注册表键值：HKEY_LOCAL_MACH INE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-B UGSFIX为“ \WIN-BUGSFIX.exe ”。 (资料由趋势公司提供)

相关连接:天津一外企的电脑系统感染“我爱你”病毒
相关连接:“我爱你”病毒的相关技术资料及解决办法
相关连接:趋势公司发布查杀“爱虫”病毒的升级程序
相关连接:“爱虫”病毒又以新的面孔欺骗用户
相关专题:“我爱你”病毒袭击全球

 请您点击此处就本文发表您的高见

新浪首页 > 科技时代 > 软件 > 新浪科技 > 新闻报道

网站简介 | 网站导航 | 广告服务 | 中文阅读 | 联系方式 | 招聘信息 | 帮助信息


			“我爱你”病毒技术细节分析 http://www.sina.com.cn 2000/05/06 12:06 新浪科技　　是否当前流行：是　　发作日：每天　　发作模块：其他（Ｅ-mail扩散，破坏特定扩展名的文件）　　可检测的病毒文件：695或更高版本　　可查杀的扫描引擎：2.062或更高版本　　语言：英语　　发作平台：Windows 9x/NT 　　加密否：否　　病毒大小：10,307 Bytes 　　详细信息：该病毒怀疑源自菲律宾的马尼拉的“spyder of the @GRAMMERSoft Gr oup”组织，感染安装了Windows Scripting Host（WSH）的Windows 9x或NT系统。　　该病毒感染力极强，可寻找本地驱动器和映射驱动器，并在所有的目录和子目录中搜索可以感染的目标。　　该病毒感染如下扩展名的文件："vbs", "vbe", "js", "jse", "css", "ws h", "sct","hta", "jpg", "jpeg", "mp3", or "mp2"，当蠕虫找到有以上扩展名的文件时，用病毒代码覆盖文件原来的内容，并将后缀修改为vbs，随后毁掉宿主文件。　　一旦病毒运行，将会在系统中留下以下文件：　　\windows\Win32DLL.vbs 　　\system\MSKernel32.vbs 　　\system\LOVE-LETTER-FOR-YOU.TXT.vbs. 　　该病毒还修改注册表中的一些路径以达到Windows启动时运行的目的，　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion\Run\MSKernel32",:\windows\system \MSKernel32. vbs HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion\RunServices\Win32DLL”, :\windows\\Win32DLL.vb s.该病毒在\windows\system的子目录下查找名为WinFAT32.exe的文件，然后将ＩＥ默认的启始页修改为以下站点之一： http://www.skyinet.net/~young1s/HJKhjnwerh jkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/WIN- BUGSFIX.exe 　　http://www.skyinet.net/~angelcat/skladjflfdjghKJnwe tryDGFikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN -BUGSFIX.exe 　　http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198v bFV5hfFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe 　　http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLH jkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbv nmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe 　　另外该病毒还在\windows\system 下搜索名为WIN-BUGSFIX.exe的文件，如果该文件不存在，则修改ＩＥ的默认启始页面为“about:blank”，修改注册表键值：HKEY_LOCAL_MACH INE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-B UGSFIX为“ \WIN-BUGSFIX.exe ”。 (资料由趋势公司提供) 相关连接:天津一外企的电脑系统感染“我爱你”病毒相关连接:“我爱你”病毒的相关技术资料及解决办法相关连接:趋势公司发布查杀“爱虫”病毒的升级程序相关连接:“爱虫”病毒又以新的面孔欺骗用户相关专题:“我爱你”病毒袭击全球请您点击此处就本文发表您的高见

新浪首页 > 科技时代 > 软件 > 新浪科技 > 新闻报道