“I Love You”病毒问答

Author: 江雁 Date: 2000年 第19期

#1    1.谁有可能感染该病毒?
  允许运行Windows Scripting Host(WSH)的所有Microsoft Windows用户都是潜在的受害者。许多执行MS Office程序的运行Windows的计算机都内嵌WSH,后者允许Visual Basic(VB)脚本语言自动运行。
#1    2.该病毒如何感染用户的系统?
  该病毒可通过多种方式传播。最为常见的是,它将自己伪装成电子邮件的附件发送。激活该病毒的E-mail成分需要Microsoft Outlook。如果用户正在使用Outlook,该病毒将自我复制,并向用户的Windows Address Book(地址簿)内的每个联系人发送。它也可以通过mIRC(Internet chat channels)传播。最安全的办法就是不打开就删除该邮件。
  典型的染毒E-mail有如下的主题:I LOVE YOU。正文内容为“kindly check the attached LOVELETTER coming from me.”附件名为“LOVE-LETTER-FOR-YOU.TXT.vbs” ——一个Visual Basic文件。该附件具有双重身份:那些禁用诸如.vbs等的扩展名的E-mail客户端程序也许会将它视为无害的“LOVE-LETTER-FOR-YOU.TXT”。请收到类似邮件立即删除。
  该病毒的一个已知的变种主题为“fwd: Joke”,正文内容同前;附件为“veryfunny.vbs”。
  另一个类似的变种主题为“Funny News”。
  还有的变种包括:
  主题为“Susitikim shi vakara kavos puodukui”,源代码中包含“Modified Lameris Tamoshius / Lithuania (Tovi systems)”;
    主题为立陶宛语的“Let's meet this evening for coffee.”
  主题为:“Mothers Day Order Confirmation”;正文内容为“We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com”;所带附件的名字为mothersday.vbs。
  因为该病毒隐藏在VBS文件中,它需要Windows Scripting Host(WSH)方能激活。如果用户已经禁用了WSH,这个染毒的附件就没有什么危害了。
  该病毒也会通过.htm文件(例如一个简单的页面)或一个mIRC脚本传播。它还试图从Internet下载一个名为WIN-BUGSFIX.exe的特洛伊木马程序文件,并且将它的VBS脚本复制两份到系统目录以便每次计算机重启动便执行。该病毒还检查Internet Explorer的下载文件目录以判断WinFAT32.exe文件是否存在。如果该文件不存在,则该病毒将随机挑选四个站点中的任意一个作为Internet Explorer的起始页。有时该起始页也被设置为空,这些站点指向一个EXE文件:WIN-BUGSFIX.exe,该文件将会被下载并且注册表将会被修改以便该程序在计算机重启时能运行。如果该病毒确信用户系统里安装有mIRC,它便会利用mIRC脚本通过mIRC传播。
  该病毒也搜索本地及网络驱动器上所有以VBS、VBE、JS、JSE、CSS、WSH、SCT或HTA为后缀的文件。这些文件将被病毒所覆盖并被更名为以VBS为后缀。所有的JPG或JPEG文件也将被破坏并被病毒所覆盖,同时在现存的文件名后加上.VBS后缀。所有的MP2或MP3文件将被病毒所覆盖,并将被复制成以.VBS为后缀的新文件,原文件将被设成隐含属性。
  该蠕虫病毒看起来通过感染注册表有效地躲过了重启动的危险,而且看起来它的代码中隐含访问www.skyinet.net的指令用以指导用户允许.vbs文件的执行。
#1    3.如果已经感染了,该怎么办?
  一种是咨询反病毒厂商,下载相应的病毒库升级版本或杀毒软件;
  或者手工予以清除,方法如下:
  1)在Windows(如c:\windows或c:\winnt)目录里删除文件win32dll.vbs;
  2)在Windows系统目录system32里删除文件MSKernel32.vbs;
  3)删除c:\windows\SYSTEM32目录里的LOVE-LETTER-FOR-YOU.TXT.vbs文件;
  4)删除c:\windows\SYSTEM32目录里的LOVE-LETTER-FOR-YOU.HTM文件;
  5)运行Regedit,在注册表找到并删除如下键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32 和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL
  6)重新启动计算机
#1    4.如何有效预防该病毒的感染?
  1)经常性地更新反病毒软件的病毒库文件;
  2)不要在没有任何保护措施的前提下执行任何E-mail中的可执行附件(.exe和.vbs),特别是.vbs文件和包含“LoveLetter”字样的邮件;
  3)尽可能地完全禁止.vbs的运行;
  4)考虑换一种更为安全的Email客户端软件。