[2000]

情书(Loveletter-又名I LOVE
YOU)病毒自动散播垃圾邮件,灾情直逼梅莉莎,数家台湾着名企业Mail Server遭攻陷,网络全数瘫痪
趋势科技呼吁电脑用户,当收到信件标题为"ILOVEYOU"的电子邮件,请立即删除,勿开启附加文件以免中毒。
趋势科技4日晚间发布一级病毒警讯,一只名为"VBS_LOVELETTER"(又名为I LOVE YOU)新病毒,通过电子邮件,迅速地在全球各地扩散。这只由VB Script程序语言所编写的新病毒,传播途径类似去年3月酿成巨灾的梅莉莎病毒,主要通过一封信件标题为 "ILOVEYOU"(我爱你) 的电子邮件散播,附加文件为 "LOVE-LETTER-FOR-YOU.txt.vbs" (献给你的情书)。电脑用户一旦执行附加文件,病毒会经由被感染者Outlook通讯录的名单发出自动信件,藉以连锁性的大规模散播,造成企业mail server瘫痪。病毒发作时,会感染并覆写附档名为:*.mp3, *.vbs, *.jpg, *.jpeg, *.hta, *.vbe, *.js, *.jse....等十种文件格式;文件遭到覆写后,附档名会改为 *.vbs 。
趋势科技已针对所有授权用户发出一级病毒警讯,同时于趋势科技网站提供"病毒自动清除程序"下载。趋势科技提醒电脑用户,当你收到信件标题为"ILOVEYOU"的电子邮件,应立即删除,不要开启附加文件以免中毒。趋势科技同时呼吁用户更新病毒代码至695以上,以检测此病毒。
根据趋势科技表示,该公司于4日上午首先由欧洲接获客户的求救讯息,之后,德国分公司在二小时内涌进了数百通的求援电话,其中包括了政府机关与工商单位,并有数家大型ISP公司遭受新病毒的感染,业务服务陷入停摆。4日下午,病毒通过email,在极短的时间内即扩散至台湾,有数家与国外业务往来密切的大型企业传出灾情,mail server瞬间被灌爆,网络陷入瘫痪。根据趋势科技eDoctor分析,"VBS_LOVELETTER"病毒与梅莉莎病毒的最大差异在于,梅莉莎病毒只会对通讯录的前50个名单发出垃圾邮件,而"VBS_LOVELETTER"病毒是向所有的通讯录名单发出自动信件,其传播的速度比梅莉莎病毒快上数倍,破坏力更为强大。
VBS_LOVELETTER"(又名为I LOVE YOU)病毒 FAQ:
如何判断 "VBS_LOVELETTER" 病毒?
病毒传播途径:
解决方案:
1.病毒自动清除程序
2.手动解毒
病毒感染步骤
如何判断 "VBS_LOVELETTER" 病毒?
信件标题为"ILOVEYOU"(我爱你)的电子邮件,附加文件为 "LOVE-LETTER-FOR-YOU.txt.vbs" (献给你的情书)。信件内容 "kindly check the attached LOVE LETTER coming from me" ,如下图。

病毒传播途径:
通过电子邮件,电脑用户一旦执行附加文件,病毒会经由被感染者Outlook通讯录的名单发出自动信件,藉以连锁性的大规模散播,造成企业mail server瘫痪。如图。

解决方案
病毒自动清除程序
如何取得趋势所提供的I Love You病毒自动清除程序:
1. 病毒自动清除程序下载。
2. 如果您因为网络塞车而无法下载文件,请和趋势科技客户服务专线:886-2-23783666或是技术服务专线:886-2-23772323连络,由服务人员以电子邮件方式寄给您。
3. 如果您因为病毒感而无法收发电邮件。请到趋势科技的FTP站ftp://trend.my.net.tw/Kill-VBS/kill_ILOVEU.exe下载。
4. 如果您完全无法通过以上的方式取得I Love You病毒自动程序,请您到趋势科技柜台:台北市敦化南路二段319号9楼索取。
如何使用趋势科技所提供的自动清除程序清除I Love You病毒
步骤一:收到信件标题为"ILOVEYOU"的电子邮件,应立即删除,即使寄件者是你所熟悉的人名,也不要开启附加文件以免中毒。
步骤二:执行磁片上的kill_ILOVEU程序以自动清除病毒。
用法如下:
1. 在Windows下执行“开始”->“执行”命令
2. 输入程序名称,例如在这里我们输入a:\kill_ILOVEU

3. 如果您的电脑没有遭受到此此病毒感染,您会看到以下的画面

4. 如果您的电脑已经遭受该病毒感染,则这只程序会自动删除病毒所带进来的文件。您将看到以下的画面

5. 重新开机
步骤三:趋势科技用户请更新病毒代码至695以上,并执行手动扫描,将检测到的含病毒的*.vbs文件全数删除。非趋势科技用户,请使用在线扫毒程序
[Hinet在线网站]
[SeedNet在线扫毒]
手动清除病毒步骤
1.点选开始=>执行
2.输入regedit
3.寻找下列路径并删除HKEY_LOCAL_machine\SOFTWARE\Microsoft\windows\currentVersion\Run\MSKernel32"
HKEY_LOCAL_machine\SOFTWARE\Microsoft\windows\currentVersion\RunServices\Win32DLL"
HKEY_LOCAL_machine\SOFTWARE\Microsoft\windows\currentVersion\Run\WIN-BUGSFIX"
4.删除下列文件:
\windows\Win32DLL.VBS
\system\MSKernel32.VBS
\system\LOVE-LETTER-FOR-YOU.TXT.VBS
\system\LOVE-LETTER-FOR-YOU.TXT.HTML.
病毒感染步骤:
1.第一次打开病毒文件时,病毒会自动产生下列文件于windows目录中
\windows\Win32DLL.vbs
\system\MSKernel32.vbs
\system\LOVE-LETTER-FOR-YOU.TXT.vbs.
\system\LOVE-LETTER-FOR-YOU.TXT.HTML.
2.当重新开机后.病毒并且会修改下列windows 登录值. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32", <root>:\windows\system \MSKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL", <root>:\windows\\Win32DLL.vbs.
3.在 <root>:\windows\system 目录中寻找WinFAT32.exe. 如果文件存在即会修改Internet Explorer并开启特定网站中的
wiN-BUGSFIX.EXE
4.接下来病毒会在 <root>:\windows\system 目录中,寻找 WIN-BUGSFIX.exe
如果文件不存在即会修改Internet Explorer起始划面变为 "about:blank"
并且修改WINDOWS登录值
5.这个病毒会利用 Microsoft Outlook扩散.并将"LOVE-LETTER-FOR-YOU.TXT.vbs" 附加于E-MAIL中并传送给个人通讯录所记载的帐号 .其信件内容为:
主旨:ILOVEYOU.
内容:KINDLY CHECK THE ATTACHED LOVELETTER COMING FROM ME.
另外,病毒会开始篡改Mirc的 script.ini文件
如此会造成用户利用mIRC,上网聊天时.病毒会自动呼叫dcc send 指令给同一个聊天室其他用户并且将病文件传送给这些用户,"LOVE-LETTER-FOR-YOU.HTM"
6.这个病毒会寻求以下附档名的档案:
.vbs .vbe .js .jse .css .wsh
.sct .hta .jpg .jpeg .mp3 .mp2
当找到时.会将病毒程序覆盖于文件中.并且将档名修改为<filename.extension> + .vbs. 的格式.导致文件无法正常执行。
|