I LOVE YOU 病毒剖析

十四家流行杀毒软件测试——结果令人忧心忡忡
互连网时代防毒概念革命——我所不能了解的事

　　I LOVE YOU是个INTERNET蠕虫，它并不是一个严格的病毒。它完全由VBS脚本语言编写而成，这种语言与JS一起可能算是最简单的编程语言，一直以来这两种语言给人的印象只是用于浏览器内，让网站更多资多彩，使用它的不是专业的程序员而是网站的美工们，这可能也是它们被开发出来的初衷。但由于微软赋予它的越来越多的能力，今天它已经具有了足够的级别与能力来实施严重的破坏。
　　I LOVE YOU 病毒的破坏能力包括生成、删除、覆盖文件，修改注册表。它具有毫无疑问的自我复制能力，传播途径则有附在电子邮件上，利用OUTLOOK地址簿发送和生成HTM文件，利用MIRC流传两种。我有幸拿到了这个病毒的样本，下面我们一起来跟着I LOVE YOU走一走。
　　文件大小只有1O几个K，代码大概300多行。脚本程序的开始，首先检查WSRIPT HOST（这是VBS文件赖以执行的解释器）的延迟时间设置。接下来把自己复制到WINDOWS\SYSTEM目录下一份，命名为MSKernel32.vbs，复制到WINDOWS目录下一份，命名为Win32DLL.vbs，再次复制到WINDOWS\SYSTEM目录下一份，命名为 LOVE-LETTER-FOR-YOU.TXT.vbs，一共复制了三份自身拷贝。
　　再下一步，修改注册表，把自己的MSKernel32.vbs、Win32DLL.vbs两份拷贝设置成开机自动执行，检查WINDOWS\SYSTEM下是否存在存在WinFAT32.exe文件，病毒程序根据随机值设置IE默认首页为包含同一文件WIN-BUGSFIX.exe的某四个地址之一，企图在用户再次打开IE时下载该文件。如果检测到已经下载过，则把WIN-BUGSFIX.exe设置成开机自动运行，并设置IE默认首页为空。
　　接着，病毒生成一个包含自己代码的HTM文件。
　　再下一步，病毒把自己的另一份拷贝LOVE-LETTER-FOR-YOU.TXT.vbs作为电子邮件附件通过OUTLOOK的地址簿向地址里的所有人发送过去。
　　不声不响的完成了传播与潜入系统的任务把你利用完了后，就开始大搞破坏。它不放过任何一个硬盘分区包括局域网内的映射盘，不放过任何一个子目录，在你的机器里来一个“三光”大扫荡！破坏的文件包括：1，如果是VBS、VBE文件，就用自己覆盖文件原内容；2，如果是JS、JSE、CSS、WSH、SCT、HTA文件，就用自己覆盖文件原内容后，为原文件复制一份后缀为VBS的拷贝，然后把原文件删除；3，如果是JPG、JPEG文件，就用自己覆盖文件原内容后，为原文件复制一份原文件名再加后缀.vbs的拷贝，然后把原图片文件删除。4，如果是MP3、MP2文件，则生成一个新文件，取名为原文件名加.vbs，然后把原音乐文件隐藏起来——这也是该版本病毒唯一一种未真正破坏可以恢复的文件类型。
　　通过MIRC发送前面生成的HTM文件来继续传播自己。
　　到这里，病毒程序就结束了。 整个程序没有使用任何特别的技巧，全是正常、普通的VBS编程与ACTIVEX控件调用。只要对VBS稍为熟悉即可参照它写出一个面目全非的新病毒，而要修改它更是简单的连一个小学生都可以办到。