VBS.LoveLetter

病毒別名：

處理時間：2000-05-04

威脅級別：★★

中文名稱：愛蟲/我愛你

病毒類型：VBS病毒

影響系統：Win9x / WinNT

VBS.LoveLetter是一個基於 e-mail 的VBS（Visual Basic Script）腳本病毒。通過Microsoft Outlook電子郵件系統傳播，郵件的主題為"I LOVE YOU"，幷包含一個附件。一旦在Microsoft Outlook裏打開這個郵件，系統就會自動複製並向地址簿中的所有郵件電址發送這個病毒。它可以改寫本地及網絡硬盤上面的某些文件。用户機器染毒以後，郵件系統將會變慢，並可能導致整個網絡系統崩潰。

1.該病毒通過產生如下所述的e-mail 傳播，病毒自身作為郵件的附件，且發送給在Outlook訊簿中的所有收件人。

e-mail 的主題：ILOVEYOU

e-mail 的正文：請儘快查收來自我的郵件附件的LOVELETTER

e-mail 的附件：LOVE-LETTER-FOR-YOU.TXT.vbs （其中.VBS擴展名是否顯示，依賴於系統的設置）

（注：不同變種有所變化）

在企業的網絡中，病毒產生的大量e-mail可能會使電子郵件服務器超載，處於癱瘓狀態。

2.該病毒傳播的目標是Windows 98，缺省安裝的Windows 2000 和Windows NT 4.0 以及安裝了Windows Scripting Host(WSH)引擎的Windows 95系統。蠕蟲使用不同的名字將自身複製到多重子目錄中：

%SystemRoot%\Win32DLL.vbs

%System%\MSKernel32.vbs

%System%\LOVE-LETTER-FOR-YOU.TXT.vbs

3.病毒修改註冊表信息，以便它在下次啓動時能運行：

在註冊表的主鍵：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

中添加如下鍵值：

"MSKernel32"="%system%\MSKernel32.vbs"

在註冊表的主鍵：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

中添加如下鍵值：

"Win32DLL"="%system%\Win32DLL.vbs"

4.病毒修改IE的缺省（Internet Explorer）主頁，從上面下載名為WIN_BUGFIX.exe的後門程序。該文件在Web上真實的位置目前是關閉的。

病毒還會在註冊表的主鍵：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

中添加鍵值：

"WIN-BUGSFIX" = "WIN-BUGSFIX.exe"

這樣當windows下次重新後，該後門程序得以運行，並將自身拷貝為%System%\WINFAT32.EXE。該木馬運行後病毒會將IE缺省主頁改為空白頁（about:blank）。

該後門程序實際實際上是一個盜號木馬。它獲取本地機器名，IP地址，網絡登陸帳號和密碼, RAS信息等等，然後發送郵件給木馬使用者，例如"mailme@super.net.ph", 主題為"Barok... email.passwords.sender.trojan"。

5.病毒搜索所有的子目錄，並用自身的副本覆蓋（overwrite）擴展名為JPG，VBS，JS，JSE，CSS，WSH，SCT，HTA，MP3和MP2 的所有文件，給無VBS（non-VBS）後綴的文件名添加VBS擴展名。如：一個名為Satisfaction.MP3的文件將變為Satisfaction.MP3.VBS。下一次染毒文件被點擊或被激活，病毒將開始傳播。

6.如果IRC（在線聊天系統）客户在系統中出現，病毒將產生一個HTML文件，將自身發送到IRC通道中。