爱虫病毒的细节分析

VBS/LoveLetterA蠕虫

VBS/LoveLetterA 蠕虫的特征（见图）

VBS/LoveLetterA 是一个基于 e-mail 的VBS（Visual Basic Script）蠕虫，它以一个电子邮件的附件到达您的邮箱(见图)，邮件的主题是 ILOVEYOU（全大写，无空格）。

e-mail 的正文：

请尽快查收来自我的邮件附件的LOVELETTER。

e-mail 带有名为 LOVE-LETTER-FOR-YOUTXTvbs 的附件。VBS扩展名是否显示，依赖于系统的设置。

如果您收到了一封与以上所述相符的e-mail，您不要打开邮件的附件，并立即删除e-mail。

LoveLetter蠕虫通过产生如上所述的e-mail 传播，蠕虫自身作为邮件的附件，且发送给在Outlook 通讯簿中的所有收件人。在大的机构中，产生的大量e-mail 可能会使电子邮件服务器超载，处于瘫痪状态。

LoveLetter蠕虫传播的目标是Windows 98, 缺省安装的Windows 2000 和Windows NT 40以及安装了Windows Scripting Host(WSH)引擎的Windows 95系统。蠕虫使用不同的名字将自身复制到多重子目录中：

在Windows目录中的文件名是Win32DLLvbs，在\Windows\system目录中的文件名为MSKernel32vbs 和 LOVE-LETTER-FOR-YOUTXTvbs。

LoveLetter蠕虫修改注册表信息，以便它在下次启动时能运行：

HKElkjhflkafkljhsajdkhfkajshfklafhlkajfhs

C:\WINDOWS\SYSTEM\MSKernel32vbs

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win

32DLL=C:\WINDOWS\Win32DLLvbs

蠕虫还设置缺省的IE（Internet Explorer）主页，下载WIN_BUGFIXexe 文件的一个副本，该文件看起来是一个“后门服务器”（backdoor server）。该文件在Web上真实的位置目前是关闭的。　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinFAT32=C:\WINDOWS\SYSTEM\WinFAT32

LoveLetter蠕虫搜索所有的子目录，并用自身的副本覆盖（overwrite）扩展名为JPG, VBS, JS, JSE, CSS, WSH, SCT, HTA, MP3和MP2 的所有文件，给无VBS（non-VBS）后缀的文件名添加VBS扩展名。如：一个名为的文件将变为。下一次染毒文件被点击或被激活，蠕虫将开始传播。

如果IRC（在线聊天系统）客户在系统中出现，LoveLetter蠕虫将产生一个HTML文件，将自身发送到IRC通道中。

进程名称 描述

algexe 用于处理windows网络连接共享和网络连接防火墙

ccmexecexe SMS操作系统服务,对系统的正常运行非常重要

clisvclexe 该进程调用SMSS进程检测计算机上的软件

csrssexe 该进程管理windows图象相关任务,容易被病毒感染

dfssvcexe 服务器版windows的DFS分布式文件系统服务

dotnetfxexe 升级到net技术的一个进程,不是纯粹的系统进程

fastexe 用于用户帐号的快速切换,不是纯粹的系统进程

iexploreexe Internet Explorer 浏览器进程

loadwcexe Internet Explorer 浏览器的一部分

lsassexe 系统进程,用于本地安全和登陆策略容易被感染

mmcexe windows管理控制程序,显示管理插件的控制面板

msconfigexe 用于帮助编辑和管理配置文件,如winini等启动项

msiexecexe windows Installer的一部分,对系统正常运行非常重要

mstinitexe 用于管理杀毒软件和磁盘碎片整理

ntoskrnlexe 在你计算机反复启动的情况下出现,可能被病毒感染

pstoresexe 用于应用程序储存,如IE储存机密数据

regsvcexe 用于远程计算机访问本地注册表

rpcssexe 用于本地计算机的远程程序调用服务

rundll32exe 用于在内存中运行DLL文件,容易被病毒感染

savedumpexe 用于NT内存储存,该进程会写内存内容到页面文件

servicesexe 用于管理启动和停止服务

spool32exe windows打印任务管理程序,用于打印机就绪

srvanyexe 用于将一个程序注册为一个服务

system Idleprocess 不是一个进程,用于显示CPU可用资源百分比情况

taskmgrexe 显示系统中正在运行的进程,用CTRL+ALT+DEL打开

tlntsvrexe 属于微软Telnet程序的一部分

winmgmtexe 用于系统管理员创建windows管理脚本

wmiexeexe 用于让用户访问基本系统信息

wpabalnexe 微软windows操作系统监听精灵程序

wuaubootexe 用于管理windows自动更新

wucrtupdexe 用于检测windows的更新

actmovieexe 用于支持显示卡运行一些屏幕保护和微软程序

ASPNET_WPexe 涉及Microsoft aspnet技术的程序运行所必须的进程

cidemonexe 是一个索引服务,为了让你更加快速的查找文件

cmdexe 微软windows系统的命令行程序

ctfmonexe 用于选择文字输入程序和office语言条

dllhostexe 用于管理DLL应用

dumprepexe 记录出现错误的程序信息并发送相关错误信息到微软

grpconvexe 用于转换windows 31 的文件夹格式至高版本windows

scanregwexe 用于检测windows注册表并会正确的覆盖错误的

smssexe 管理子系统和操作系统的对话,容易被感染

spoolssexe 用于将打印任务发送到本地打印机

svchostexe 用于执行DLL文件,容易被感染

systrayexe 用于显示信息,例如日期和时间

taskmonexe 用于监视硬件资源对计算机的维护任务

userinitexe 关键进程,用于管理不同的启动程序

winoa386mod 用于控制32位的windows环境下提供DOS命令行

wmiorvseexe 用于通过WinMgmtexe程序处理WMI操作

wscntfyexe windows安全相关策略的一部分

wuaucltexe windows自动升级管理程序，会不断在线检测

agentsvrexe 是一个Activex插件,用于多媒体程序

btwdinsexe 是为了windows操作系统支持蓝牙技术的进程

cisvcexe 用于监测CIDAEMONexe内存使用状态

ddhelpexe Directx的一部分,用语对windows 3D显示卡的加速

dos4gwexe DOS操作系统在32位操作系统上的扩展壳

explorerexe 用于管理shell,开始菜单,任务栏,桌面和文件管理

hidservexe 用于支持windows操作系统的USB多媒体设备

inetinfoexe 用于支持微软windows IIS网络服务

launch32exe 储存管理服务的远程部署与安装程序

logonuiexe 用于显示windows XP系统用户切换界面

mapisp32exe 用于调用MAPI消息的程序

mprexeexe 用于计算机使用多个网络协议和网卡与路由的连接

mstaskexe windows计划任务程序

msgsrv32exe 是一个32位的消息服务

netddeexe windows的网络动态数据 Exchange服务

pchschdexe 用于监视分析系统硬件使用

rdpclipexe 用于从服务器到本地拷贝粘贴文件

rnaappexe win98/me 操作系统的进程,用于进行拨号网络连接

sapisvrexe 用于语音识别支持

scardsvrexe 用于认证本地系统的简单型的安全卡

snmpexe 用于局域网LAN和局域网基础配置

spoolsvexe 用于将windows打印机任务发送给本地打印机

tcpsvcsexe 用于计算机使用专用的TCP/IP网络服务

winlogonexe 用于处理你系统的登陆和登陆过程

wowexecexe 用于支持16位进程

wuacltexe 用于系统自动检测你计算机上的软件更新