爱虫病毒的细节分析
VBS/LoveLetterA蠕虫
VBS/LoveLetterA 蠕虫的特征(见图)
VBS/LoveLetterA 是一个基于 e-mail 的VBS(Visual Basic Script)蠕虫,它以一个电子邮件的附件到达您的邮箱(见图),邮件的主题是 ILOVEYOU(全大写,无空格)。
e-mail 的正文:
请尽快查收来自我的邮件附件的LOVELETTER。
e-mail 带有名为 LOVE-LETTER-FOR-YOUTXTvbs 的附件。VBS扩展名是否显示,依赖于系统的设置。
如果您收到了一封与以上所述相符的e-mail,您不要打开邮件的附件,并立即删除e-mail。
LoveLetter蠕虫通过产生如上所述的e-mail 传播,蠕虫自身作为邮件的附件,且发送给在Outlook 通讯簿中的所有收件人。在大的机构中,产生的大量e-mail 可能会使电子邮件服务器超载,处于瘫痪状态。
LoveLetter蠕虫传播的目标是Windows 98, 缺省安装的Windows 2000 和Windows NT 40以及安装了Windows Scripting Host(WSH)引擎的Windows 95系统。蠕虫使用不同的名字将自身复制到多重子目录中:
在Windows目录中的文件名是Win32DLLvbs,在\Windows\system目录中的文件名为MSKernel32vbs 和 LOVE-LETTER-FOR-YOUTXTvbs。
LoveLetter蠕虫修改注册表信息,以便它在下次启动时能运行:
HKElkjhflkafkljhsajdkhfkajshfklafhlkajfhs
C:\WINDOWS\SYSTEM\MSKernel32vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win
32DLL=C:\WINDOWS\Win32DLLvbs
蠕虫还设置缺省的IE(Internet Explorer)主页,下载WIN_BUGFIXexe 文件的一个副本,该文件看起来是一个“后门服务器”(backdoor server)。该文件在Web上真实的位置目前是关闭的。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinFAT32=C:\WINDOWS\SYSTEM\WinFAT32
LoveLetter蠕虫搜索所有的子目录,并用自身的副本覆盖(overwrite)扩展名为JPG, VBS, JS, JSE, CSS, WSH, SCT, HTA, MP3和MP2 的所有文件,给无VBS(non-VBS)后缀的文件名添加VBS扩展名。如:一个名为的文件将变为。下一次染毒文件被点击或被激活,蠕虫将开始传播。
如果IRC(在线聊天系统)客户在系统中出现,LoveLetter蠕虫将产生一个HTML文件,将自身发送到IRC通道中。
进程名称 描述
algexe 用于处理windows网络连接共享和网络连接防火墙
ccmexecexe SMS操作系统服务,对系统的正常运行非常重要
clisvclexe 该进程调用SMSS进程检测计算机上的软件
csrssexe 该进程管理windows图象相关任务,容易被病毒感染
dfssvcexe 服务器版windows的DFS分布式文件系统服务
dotnetfxexe 升级到net技术的一个进程,不是纯粹的系统进程
fastexe 用于用户帐号的快速切换,不是纯粹的系统进程
iexploreexe Internet Explorer 浏览器进程
loadwcexe Internet Explorer 浏览器的一部分
lsassexe 系统进程,用于本地安全和登陆策略容易被感染
mmcexe windows管理控制程序,显示管理插件的控制面板
msconfigexe 用于帮助编辑和管理配置文件,如winini等启动项
msiexecexe windows Installer的一部分,对系统正常运行非常重要
mstinitexe 用于管理杀毒软件和磁盘碎片整理
ntoskrnlexe 在你计算机反复启动的情况下出现,可能被病毒感染
pstoresexe 用于应用程序储存,如IE储存机密数据
regsvcexe 用于远程计算机访问本地注册表
rpcssexe 用于本地计算机的远程程序调用服务
rundll32exe 用于在内存中运行DLL文件,容易被病毒感染
savedumpexe 用于NT内存储存,该进程会写内存内容到页面文件
servicesexe 用于管理启动和停止服务
spool32exe windows打印任务管理程序,用于打印机就绪
srvanyexe 用于将一个程序注册为一个服务
system Idleprocess 不是一个进程,用于显示CPU可用资源百分比情况
taskmgrexe 显示系统中正在运行的进程,用CTRL+ALT+DEL打开
tlntsvrexe 属于微软Telnet程序的一部分
winmgmtexe 用于系统管理员创建windows管理脚本
wmiexeexe 用于让用户访问基本系统信息
wpabalnexe 微软windows操作系统监听精灵程序
wuaubootexe 用于管理windows自动更新
wucrtupdexe 用于检测windows的更新
actmovieexe 用于支持显示卡运行一些屏幕保护和微软程序
ASPNET_WPexe 涉及Microsoft aspnet技术的程序运行所必须的进程
cidemonexe 是一个索引服务,为了让你更加快速的查找文件
cmdexe 微软windows系统的命令行程序
ctfmonexe 用于选择文字输入程序和office语言条
dllhostexe 用于管理DLL应用
dumprepexe 记录出现错误的程序信息并发送相关错误信息到微软
grpconvexe 用于转换windows 31 的文件夹格式至高版本windows
scanregwexe 用于检测windows注册表并会正确的覆盖错误的
smssexe 管理子系统和操作系统的对话,容易被感染
spoolssexe 用于将打印任务发送到本地打印机
svchostexe 用于执行DLL文件,容易被感染
systrayexe 用于显示信息,例如日期和时间
taskmonexe 用于监视硬件资源对计算机的维护任务
userinitexe 关键进程,用于管理不同的启动程序
winoa386mod 用于控制32位的windows环境下提供DOS命令行
wmiorvseexe 用于通过WinMgmtexe程序处理WMI操作
wscntfyexe windows安全相关策略的一部分
wuaucltexe windows自动升级管理程序,会不断在线检测
agentsvrexe 是一个Activex插件,用于多媒体程序
btwdinsexe 是为了windows操作系统支持蓝牙技术的进程
cisvcexe 用于监测CIDAEMONexe内存使用状态
ddhelpexe Directx的一部分,用语对windows 3D显示卡的加速
dos4gwexe DOS操作系统在32位操作系统上的扩展壳
explorerexe 用于管理shell,开始菜单,任务栏,桌面和文件管理
hidservexe 用于支持windows操作系统的USB多媒体设备
inetinfoexe 用于支持微软windows IIS网络服务
launch32exe 储存管理服务的远程部署与安装程序
logonuiexe 用于显示windows XP系统用户切换界面
mapisp32exe 用于调用MAPI消息的程序
mprexeexe 用于计算机使用多个网络协议和网卡与路由的连接
mstaskexe windows计划任务程序
msgsrv32exe 是一个32位的消息服务
netddeexe windows的网络动态数据 Exchange服务
pchschdexe 用于监视分析系统硬件使用
rdpclipexe 用于从服务器到本地拷贝粘贴文件
rnaappexe win98/me 操作系统的进程,用于进行拨号网络连接
sapisvrexe 用于语音识别支持
scardsvrexe 用于认证本地系统的简单型的安全卡
snmpexe 用于局域网LAN和局域网基础配置
spoolsvexe 用于将windows打印机任务发送给本地打印机
tcpsvcsexe 用于计算机使用专用的TCP/IP网络服务
winlogonexe 用于处理你系统的登陆和登陆过程
wowexecexe 用于支持16位进程
wuacltexe 用于系统自动检测你计算机上的软件更新
0条评论