爱虫”病毒特别报道
没想到在五一节期间竟然除了这么“浪漫”的一个病毒。于上周四开
始肆虐全球的“爱虫”病毒破坏力是如此此强,一些出版社等存储有比较
重要的图片的电脑用户可得当心了,虽然它不会使系统崩溃,但却可以让
你的重要文件毁于一旦。且看今日的关于“爱虫”病毒的详细资料。 ■I LOVE YOU
“爱虫”病毒所带的附件是一个 VB 脚本文件,它能将自己的拷贝发
送给 Outlook地址簿中的每一个人,它所做的还不仅仅一次,而是在每次
启动 Windows 后。
■隐藏在 VBS/LoveLetter.A 背后的……
该蠕虫病毒和去年横扫一时的梅丽莎病毒类似。尽管如此它和梅丽莎
的编写方法不太一样,而且避免了美丽莎中的一些“错误”。“爱虫”病
毒传播迅速的原因不仅在于人们的防范警觉心的下降,而且在于现在大部
分的 Windows 系统都有自动运行 VBScript的能力。和梅丽莎的最大区别
在于该病毒可以删除大量重要文件和阻塞电子邮件服务器,破坏威力比前
者要大数倍。
那么什么样的电脑会被感染呢?
只要你的 Windows 安装了Windows Scripting Host(简称WSH)就有
被感染的机会,也就是说 Windows 98, 2000 甚至于 Windows Me 都在此
范围内,因为 WSH 在安装是缺省的。而比较旧的 Windows 95和 Windows
NT 4.0,如果安装了 IE 5.x 也是一样的,WSH是 IE 5.0以上版本的一个
默认组件。所以归根到底“爱虫病毒还只能感染 Windows系统,其他操作
系统不会受到其侵袭。该病毒还能通过Internet Relay Chat 传播,现在
许多用 mIRC 网友要当心一个名为LOVE-LETTER-FOR-YOU.HTM 的文件。
最初流通的邮件如下:
主题:ILOVEYOU
正文:kindly check the attached LOVELETTER coming from me.
附件:LOVE-LETTER-FOR-YOU.TXT.vbs
以后出现的几种变种都只是更换主题来迷惑你。
由于 Windows的缺省设置是不显示文件扩展名的,所以初看上去很象
一个无害的文本文件,不过聪明的人注意一下图标就会明白了。看来病毒
的编写者还玩起了文字游戏。如果一些粗心的人执行了附件,那么脚本就
会自动运行并干一些卑鄙的工作。看一下它究竟干了些什么:
- 它首先拷贝自己并将自己塞到硬盘上,然后设置注册表以在每次启
动时都运行。在 Windows 系统目录下它将自己命名为 MSKernel32.vbs和
LOVE-LETTER-FOR-YOU.TXT.vbs。在 Windows 目录下,它将创建一个名为
Win32DLL.vbs 的脚本。
- 它会尝试通过IRC系统传播自身的拷贝,前提是你正在运行mIRC。
- 如果允许的话,它还会在网上下载一个 WIN-BUGSFIX.exe 的文件
听起来好象和修复 BUG有关,其实不然,这个独立的程序会扫描电脑内存
中的网络密码并将他们发送至病毒的制造者。
- 它还将检查所有的本地驱动器以及连接到你的电脑上的所有网络驱
动器,并用病毒的拷贝覆盖上面的许多文件。凡是有 .js、.jse、.css、
wsh、.sct、.hta、.jpg、.jpeg 扩展名的文件都将被删除并取而代之的
是病毒的拷贝,例如 tout.css 会变成 tout.vbs。而带有jpg和jpeg扩展
名的文件也会惨遭同样命运,例如 tout.jp 将会变成 tout.jpg.vbs。对
于 MP3 和 MP2 文件来说,他们还会成为隐藏文件。对于原先就是 VB 脚
本的文件,他们的文件名不会变动,只是内容全被替换成了病毒代码。
- 如果你有 Outlook 通讯簿的话,它会将病毒发送给每一个联系人。
但病毒不会发送给 Windows 通讯簿中的联系人。
■如果你已被感染该怎么做?
最简易的办法当然是先升级杀毒软件,然后做一次全面扫描。而现在
主要的反病毒公司都提供了对付此病毒的升级服务。如果你已完成了杀毒
任务,但还会有一些细小的地方未被修复。
1)检查邮件
大部分 AV 软件不会单独检查 Outlook中的邮件,但危险可能还潜伏
在那里,所以你还要去注意你信箱中的信件。
2)注册表设置改变
当你启动 Windows后会看到一些关于丢失文件的错误信息。这是因为
杀毒软件已删去了感染的文件,而注册表中的设置仍保留了下来。但这已
无关紧要了。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\Win32DLL
你还应该删除以下几个主键(如果存在的情况下):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\WIN-BUGSFIX
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\WinFAT32=WinFAT32.EXE
HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host
\Settings\Timeout
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
\Download Directory
3)IE 的改变
IE 的主页也可能会被病毒修改为 about:blank,即空白页。
4)该移除的文件
不放心的你再检查一下有无以下这两个文件(隐藏文件也不要放过)
LOVE-LETTER-FOR-YOU.HTM
LOVE-LETTER-FOR-YOU.TXT.vbs
5)恢复丢失的文件
如果你的备份工作到位的话,也许还可挽回一部分损失。需要恢复的
文件有.vbs、.vbe、.jpeg、.mp3、.mp2、.jpg、.js、.jse、.css、.wsh
sct 和 .hta 文件。
适于打印的主题视图