ILOVEYOU蠕蟲

我愛你ILOVEYOU)蠕蟲,又稱VBS/LoveletterLove Bug worm,是一個以VBScript撰寫的電腦蠕蟲

ILOVEYOU
常用名稱ILOVEYOU
別名Love Bug, Love Letter
來源地 菲律賓
作者Reonel Ramones, Onel de Guzman
感染系統Windows 9x, Windows NT 4.0, Windows 2000
程式語言VBScript

敘述

本蠕蟲首度在香港發現,第一次於2000年5月3日出現在電子郵件信箱中,以簡單的ILOVEYOU標題出現,並挾帶附件"LOVE-LETTER-FOR-YOU.TXT.vbs"。

本蠕蟲因三項特質而造成嚴重影響:

  • 它以VBScript作為其散佈媒體,此語言之前尚未發現其破壞力與缺陷,因此降低它達到目的的難度。
  • 它使用了強力的心理戰術,讓人們開啟此信的附件檔以達成持續散佈的目的。
  • Windows 2000是第一個預設隱藏附檔名的版本,如未更改此設置會使下載完成的LOVE-LETTER-FOR-YOU.TXT.vbs顯示為LOVE-LETTER-FOR-YOU.TXT,誤導用戶此檔案是真正的文字檔案。

散佈

它從東方國家以極快的速度向西方國家散播。由於它以受害者的整個郵件地址列表為傳播目標,因此本郵件常從熟識者傳來,並讓受害者以為此郵件是安全的,增加中毒郵件被打開的機會。此蠕蟲的目標便是讓少數受害者開啟郵件的VBS附檔,便可製造成千上萬的中毒郵件並以此癱瘓郵件伺服器,而非摧毀其主機內容。

影響

這個特殊的惡意軟件造成了世界55億美元的損失[來源請求]。此蠕蟲覆寫受感染電腦上的重要檔案,如音樂、多媒體與其他檔案。它也對受害者的郵件通訊列表上的每個朋友寄出病毒信,此蠕蟲僅感染執行Microsoft Windows作業系統的電腦。

創作者

此蠕蟲據信是由Michael Buen所寫,而此蠕蟲所用的Barok特洛伊木馬則是由菲律賓大學生Onel A de Guzman所寫。

蠕蟲結構

本蠕蟲的作者辯稱自己在意外中釋放了此惡意軟件。此蠕蟲以Microsoft Visual Basic Scripting寫成,並需要受害者親自啟動此檔案。它也會在Windows登錄編輯程式增加一些登錄檔鍵(registry key),使得此惡意程式可以在電腦每次開機時隨之啟動。

本蠕蟲將隨之尋找本受感染電腦所有的檔案裝置並將附檔名為*.JPG, *.JPEG, *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.HTA的檔案以自己的病毒碼覆蓋之,並再添加.VBS附檔名。此惡意程式也鎖定*.MP3與*.MP2檔案,並將它們隱藏,並複製份相同檔名且添增附檔名.VBS的受感染檔案。

此蠕蟲藉由對每一位Microsoft Outlook通訊名單上的用戶,寄發含有受感染檔案的病毒信以達散播目的。除此之外它也會下載並執行一個名為WIN-BUGSFIX.EXE的檔案,此檔案將會偷竊用戶鍵入的密碼,並將密碼以電子郵件寄發。

變種

  1. 附件檔名:LOVE-LETTER-FOR-YOU.TXT.vbs
    信件標題:ILOVEYOU
    郵件訊息:kindly check the attached LOVELETTER coming from me.
  2. 附件檔名:Very Funny.vbs
    信件標題:fwd: Joke
    郵件訊息:empty
  3. 附件檔名:mothersday.vbs
    信件標題:Mothers Day Order Confirmation
    郵件訊息:We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! [email protected]
  4. 附件檔名:virus_warning.jpg.vbs
    信件標題:Dangerous Virus Warning
    郵件訊息:There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it.
  5. 附件檔名:protect.vbs
    信件標題:Virus ALERT!!!
    郵件訊息:a long message regarding VBS.LoveLetter.A
  6. 附件檔名:Important.TXT.vbs
    信件標題:Important! Read carefully!!
    郵件訊息:Check the attached IMPORTANT coming from me!
  7. 附件檔名:Virus-Protection-Instructions.vbs
    信件標題:How to protect yourself from the IL0VEYOU bug!
    郵件訊息:Here's the easy way to fix the love virus.
  8. 附件檔名:KillEmAll.TXT.VBS
    信件標題:I Cant Believe This!!!
    郵件訊息:I Cant Believe I have Just received This Hate Email .. Take A Look!
  9. 附件檔名:ArabAir.TXT.vbs
    信件標題:Thank You For Flying With Arab Airlines
    郵件訊息:Please check if the bill is correct, by opening the attached file
  10. 附件檔名:IMPORTANT.TXT.vbs
    信件標題:Variant Test
    郵件訊息:This is a variant to the vbs virus.
  11. 附件檔名:Vir-Killer.vbs
    信件標題:Yeah, Yeah another time to DEATH...
    郵件訊息:This is the Killer for VBS.LOVE-LETTER.WORM.
  12. 附件檔名:LOOK.vbs
    信件標題:LOOK!
    郵件訊息:hehe...check this out.
  13. 附件檔名:BEWERBUNG.TXT.vbs
    信件標題:Bewerbung Kreolina
    郵件訊息:Sehr geehrte Damen und Herren!

法律責任

由於菲律賓在2000年8月21日尚未存在散佈電腦病毒相關法令,因此檢察官放棄對Onel A. de Guzman的電腦病毒犯罪偵察,轉而偵察其非法使用信用卡密碼與銀行交易的犯罪。而菲律賓電子商務法(公佈編號8792)於2000年6月14日通過,制訂了電子犯罪的罰則。根據此法,非法散佈電腦病毒或觸犯網絡犯罪(包括盜版與破解)可處以至少十萬比索(約2350美元),至多與造成損害相當的罰款,並處以六個月以上三年以下有期徒刑。

參閱

外部連結