[2000]

情书(Loveletter-又名I LOVE YOU)病毒自动散播垃圾邮件，灾情直逼梅莉莎，数家台湾着名企业Mail Server遭攻陷，网络全数瘫痪

趋势科技呼吁电脑用户，当收到信件标题为"ILOVEYOU"的电子邮件，请立即删除，勿开启附加文件以免中毒。

• 趋势科技2小时内抢先公布解决方案，提供病毒自动清除程序下载。

• 情书(Loveletter-又名 I LOVE YOU) 新闻稿

• VBS_LOVELETTER"（又名为I LOVE YOU）病毒 FAQ

趋势科技4日晚间发布一级病毒警讯，一只名为"VBS_LOVELETTER"（又名为I LOVE YOU）新病毒，通过电子邮件，迅速地在全球各地扩散。这只由VB Script程序语言所编写的新病毒，传播途径类似去年3月酿成巨灾的梅莉莎病毒，主要通过一封信件标题为 "ILOVEYOU"(我爱你) 的电子邮件散播，附加文件为 "LOVE-LETTER-FOR-YOU.txt.vbs" (献给你的情书)。电脑用户一旦执行附加文件，病毒会经由被感染者Outlook通讯录的名单发出自动信件，藉以连锁性的大规模散播，造成企业mail server瘫痪。病毒发作时，会感染并覆写附档名为：*.mp3, *.vbs, *.jpg, *.jpeg, *.hta, *.vbe, *.js, *.jse....等十种文件格式；文件遭到覆写后，附档名会改为 *.vbs 。
趋势科技已针对所有授权用户发出一级病毒警讯，同时于趋势科技网站提供"病毒自动清除程序"下载。趋势科技提醒电脑用户，当你收到信件标题为"ILOVEYOU"的电子邮件，应立即删除，不要开启附加文件以免中毒。趋势科技同时呼吁用户更新病毒代码至695以上，以检测此病毒。

根据趋势科技表示，该公司于4日上午首先由欧洲接获客户的求救讯息，之后，德国分公司在二小时内涌进了数百通的求援电话，其中包括了政府机关与工商单位，并有数家大型ISP公司遭受新病毒的感染，业务服务陷入停摆。4日下午，病毒通过email，在极短的时间内即扩散至台湾，有数家与国外业务往来密切的大型企业传出灾情，mail server瞬间被灌爆，网络陷入瘫痪。根据趋势科技eDoctor分析，"VBS_LOVELETTER"病毒与梅莉莎病毒的最大差异在于，梅莉莎病毒只会对通讯录的前50个名单发出垃圾邮件，而"VBS_LOVELETTER"病毒是向所有的通讯录名单发出自动信件，其传播的速度比梅莉莎病毒快上数倍，破坏力更为强大。

VBS_LOVELETTER"（又名为I LOVE YOU）病毒 FAQ：

如何判断 "VBS_LOVELETTER" 病毒?

病毒传播途径：

解决方案：  1.病毒自动清除程序     2.手动解毒

病毒感染步骤

如何判断 "VBS_LOVELETTER" 病毒?

信件标题为"ILOVEYOU"(我爱你)的电子邮件，附加文件为 "LOVE-LETTER-FOR-YOU.txt.vbs" (献给你的情书)。信件内容 "kindly check the attached LOVE LETTER coming from me" ，如下图。

病毒传播途径：
通过电子邮件，电脑用户一旦执行附加文件，病毒会经由被感染者Outlook通讯录的名单发出自动信件，藉以连锁性的大规模散播，造成企业mail server瘫痪。如图。

解决方案

病毒自动清除程序

如何取得趋势所提供的I Love You病毒自动清除程序：

1. 病毒自动清除程序下载。
2. 如果您因为网络塞车而无法下载文件，请和趋势科技客户服务专线：886-2-23783666或是技术服务专线：886-2-23772323连络，由服务人员以电子邮件方式寄给您。
3. 如果您因为病毒感而无法收发电邮件。请到趋势科技的FTP站ftp://trend.my.net.tw/Kill-VBS/kill_ILOVEU.exe下载。
4. 如果您完全无法通过以上的方式取得I Love You病毒自动程序，请您到趋势科技柜台：台北市敦化南路二段３１９号９楼索取。
如何使用趋势科技所提供的自动清除程序清除I Love You病毒
步骤一：收到信件标题为"ILOVEYOU"的电子邮件，应立即删除，即使寄件者是你所熟悉的人名，也不要开启附加文件以免中毒。
步骤二：执行磁片上的kill_ILOVEU程序以自动清除病毒。
用法如下：
1. 在Windows下执行“开始”－＞“执行”命令
2. 输入程序名称，例如在这里我们输入a:\kill_ILOVEU

3. 如果您的电脑没有遭受到此此病毒感染，您会看到以下的画面

4. 如果您的电脑已经遭受该病毒感染，则这只程序会自动删除病毒所带进来的文件。您将看到以下的画面

5. 重新开机
步骤三：趋势科技用户请更新病毒代码至695以上，并执行手动扫描，将检测到的含病毒的*.vbs文件全数删除。非趋势科技用户，请使用在线扫毒程序 [Hinet在线网站] [SeedNet在线扫毒]

手动清除病毒步骤

1.点选开始=>执行 
2.输入regedit
3.寻找下列路径并删除HKEY_LOCAL_machine\SOFTWARE\Microsoft\windows\currentVersion\Run\MSKernel32"
HKEY_LOCAL_machine\SOFTWARE\Microsoft\windows\currentVersion\RunServices\Win32DLL"
HKEY_LOCAL_machine\SOFTWARE\Microsoft\windows\currentVersion\Run\WIN-BUGSFIX"
4.删除下列文件:
\windows\Win32DLL.VBS
\system\MSKernel32.VBS
\system\LOVE-LETTER-FOR-YOU.TXT.VBS
\system\LOVE-LETTER-FOR-YOU.TXT.ＨＴＭＬ.

病毒感染步骤：

1.第一次打开病毒文件时,病毒会自动产生下列文件于windows目录中
\windows\Win32DLL.vbs
\system\MSKernel32.vbs
\system\LOVE-LETTER-FOR-YOU.TXT.vbs.
\system\LOVE-LETTER-FOR-YOU.TXT.ＨＴＭＬ.

2.当重新开机后.病毒并且会修改下列windows 登录值. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32", <root>:\windows\system \MSKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL", <root>:\windows\\Win32DLL.vbs.

3.在 <root>:\windows\system 目录中寻找WinFAT32.exe. 如果文件存在即会修改Internet Explorer并开启特定网站中的 wiN-BUGSFIX.EXE

4.接下来病毒会在 <root>:\windows\system 目录中，寻找 WIN-BUGSFIX.exe
如果文件不存在即会修改Internet Explorer起始划面变为 "about:blank" 并且修改WINDOWS登录值

5.这个病毒会利用 Microsoft Outlook扩散.并将"LOVE-LETTER-FOR-YOU.TXT.vbs" 附加于E-MAIL中并传送给个人通讯录所记载的帐号 .其信件内容为:
主旨:ILOVEYOU. 
内容:KINDLY CHECK THE ATTACHED LOVELETTER COMING FROM ME.
另外，病毒会开始篡改Mirc的 script.ini文件
如此会造成用户利用mIRC，上网聊天时.病毒会自动呼叫dcc send 指令给同一个聊天室其他用户并且将病文件传送给这些用户，"LOVE-LETTER-FOR-YOU.HTM"

6.这个病毒会寻求以下附档名的档案:
.vbs  .vbe   .js   .jse  .css  .wsh  .sct  .hta  .jpg  .jpeg  .mp3  .mp2
当找到时.会将病毒程序覆盖于文件中.并且将档名修改为<filename.extension> + .vbs. 的格式.导致文件无法正常执行。