“我爱你”病毒技术分析报告

　　是否当前流行：是

　　发作日：每天

　　发作症状：通过Ｅ-mail扩散，破坏特定扩展名的文件，并使邮件系统变慢，甚至导致网络系统崩溃

可查杀该病毒的瑞星杀毒软件版本：11.03

　　发作平台：Windows 9x/NT

　　病毒大小：10,307字节

　　病毒来源： 该病毒怀疑源自菲律宾的马尼拉的“spyder of the @GRAMMERSoft Group”组织

该病毒可感染安装了Windows Scripting Host（WSH）的Windows 9x或NT系统，该病毒感染力极强，可寻找本地驱动器和映射驱动器，并在所有的目录和子目录中搜索可以感染的目标。

　　该病毒感染扩展名为"vbs", "vbe", "js", "jse", "css", "wsh", "sct","hta", "jpg", "jpeg", "mp3"和"mp2"等十二种类型文件，当病毒找到有以上扩展名的文件时，用病毒代码覆盖文件原来的内容，并将后缀修改为vbs或加上.vbs后缀，随后毁掉宿主文件，破坏了这些数据文件原始内容。

作为蠕虫，该病毒传播机理和“梅莉莎”类似，通过Microsoft Outlook发送带附件名为“LOVE-LETTER-FOR-YOU.TXT.vbs”的邮件给用户地址簿里所有的地址来传播的，主题为“I LOVE YOU”（译：我爱你），主体为“kindly check the attached LOVELETTER coming from me（译：请您收下这份情书）”，另外一个带毒的附件。

　　一旦病毒运行，将会在windows目录中生成以下文件：

　　Win32DLL.vbs

在windows目录的system子目录中生成以下文件：
　　
MSKernel32.vbs

　　LOVE-LETTER-FOR-YOU.TXT.vbs.

　　该病毒还修改注册表中的一些路径以达到Windows启动时自动运行的目的，增加注册表键值：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32为\windows\system \MSKernel32.vbs

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL为\windows\Win32DLL.vbs

该病毒在\windows\system的子目录下查找名为WinFAT32.exe的文件，然后将ＩＥ默认的启始页随机修改为以下站点之一： http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/WIN- BUGSFIX.exe

　　http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN -BUGSFIX.exe

　　http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe

　　http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbv nmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe

　　另外该病毒还在IE的下载目录中搜索名为WIN-BUGSFIX.exe的文件，如果该文件不存在，则修改ＩＥ的默认启始页面为“about:blank”，并修改注册表键值：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX为WIN-BUGSFIX.exe。