ILOVEYOU蠕虫

我爱你ILOVEYOU)蠕虫,又称VBS/LoveletterLove Bug worm,是一个以VBScript撰写的电脑蠕虫

ILOVEYOU
常用名称ILOVEYOU
别名Love Bug, Love Letter
来源地 菲律宾
作者Reonel Ramones, Onel de Guzman
感染系统Windows 9x, Windows NT 4.0, Windows 2000
编程语言VBScript

叙述

本蠕虫首度在香港发现,第一次于2000年5月3日出现在电邮信箱中,以简单的ILOVEYOU标题出现,并挟带附件"LOVE-LETTER-FOR-YOU.TXT.vbs"。

本蠕虫因三项特质而造成严重影响:

  • 它以VBScript作为其散布媒体,此语言之前尚未发现其破坏力与缺陷,因此降低它达到目的的难度。
  • 它使用了强力的心理战术,让人们开启此信的附件档以达成持续散布的目的。
  • Windows 2000是第一个默认隐藏附文件名的版本,如未更改此设置会使下载完成的LOVE-LETTER-FOR-YOU.TXT.vbs显示为LOVE-LETTER-FOR-YOU.TXT,误导用户此文件是真正的文本文件。

散布

它从东方国家以极快的速度向西方国家散播。由于它以受害者的整个邮件地址栏表为传播目标,因此本邮件常从熟识者传来,并让受害者以为此邮件是安全的,增加中毒邮件被打开的机会。此蠕虫的目标便是让少数受害者开启邮件的VBS附档,便可制造成千上万的中毒邮件并以此瘫痪邮件伺服器,而非摧毁其主机内容。

影响

这个特殊的恶意软件造成了世界55亿美元的损失[来源请求]。此蠕虫改写受感染电脑上的重要文件,如音乐、多媒体与其他文件。它也对受害者的邮件通讯列表上的每个朋友寄出病毒信,此蠕虫仅感染执行Microsoft Windows操作系统的电脑。

创作者

此蠕虫据信是由Michael Buen所写,而此蠕虫所用的Barok特洛伊木马则是由菲律宾大学生Onel A de Guzman所写。

蠕虫结构

本蠕虫的作者辩称自己在意外中释放了此恶意软件。此蠕虫以Microsoft Visual Basic Scripting写成,并需要受害者亲自启动此文件。它也会在Windows登录编辑程序增加一些注册表键(registry key),使得此恶意程序可以在电脑每次开机时随之启动。

本蠕虫将随之查找本受感染电脑所有的文件装置并将附文件名为*.JPG, *.JPEG, *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.HTA的文件以自己的病毒码覆盖之,并再添加.VBS附文件名。此恶意程序也锁定*.MP3与*.MP2文件,并将它们隐藏,并复制份相同文件名且添增附文件名.VBS的受感染文件。

此蠕虫借由对每一位Microsoft Outlook通讯名单上的用户,寄发含有受感染文件的病毒信以达散播目的。除此之外它也会下载并执行一个名为WIN-BUGSFIX.EXE的文件,此文件将会偷窃用户键入的密码,并将密码以电邮寄发。

变种

  1. 附件文件名:LOVE-LETTER-FOR-YOU.TXT.vbs
    信件标题:ILOVEYOU
    邮件消息:kindly check the attached LOVELETTER coming from me.
  2. 附件文件名:Very Funny.vbs
    信件标题:fwd: Joke
    邮件消息:empty
  3. 附件文件名:mothersday.vbs
    信件标题:Mothers Day Order Confirmation
    邮件消息:We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! [email protected]
  4. 附件文件名:virus_warning.jpg.vbs
    信件标题:Dangerous Virus Warning
    邮件消息:There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it.
  5. 附件文件名:protect.vbs
    信件标题:Virus ALERT!!!
    邮件消息:a long message regarding VBS.LoveLetter.A
  6. 附件文件名:Important.TXT.vbs
    信件标题:Important! Read carefully!!
    邮件消息:Check the attached IMPORTANT coming from me!
  7. 附件文件名:Virus-Protection-Instructions.vbs
    信件标题:How to protect yourself from the IL0VEYOU bug!
    邮件消息:Here's the easy way to fix the love virus.
  8. 附件文件名:KillEmAll.TXT.VBS
    信件标题:I Cant Believe This!!!
    邮件消息:I Cant Believe I have Just received This Hate Email .. Take A Look!
  9. 附件文件名:ArabAir.TXT.vbs
    信件标题:Thank You For Flying With Arab Airlines
    邮件消息:Please check if the bill is correct, by opening the attached file
  10. 附件文件名:IMPORTANT.TXT.vbs
    信件标题:Variant Test
    邮件消息:This is a variant to the vbs virus.
  11. 附件文件名:Vir-Killer.vbs
    信件标题:Yeah, Yeah another time to DEATH...
    邮件消息:This is the Killer for VBS.LOVE-LETTER.WORM.
  12. 附件文件名:LOOK.vbs
    信件标题:LOOK!
    邮件消息:hehe...check this out.
  13. 附件文件名:BEWERBUNG.TXT.vbs
    信件标题:Bewerbung Kreolina
    邮件消息:Sehr geehrte Damen und Herren!

法律责任

由于菲律宾在2000年8月21日尚未存在散布电脑病毒相关法令,因此检察官放弃对Onel A. de Guzman的电脑病毒犯罪侦察,转而侦察其非法使用信用卡密码与银行交易的犯罪。而菲律宾电子商务法(公布编号8792)于2000年6月14日通过,制订了电子犯罪的罚则。根据此法,非法散布电脑病毒或触犯网络犯罪(包括盗版与破解)可处以至少十万比索(约2350美元),至多与造成损害相当的罚款,并处以六个月以上三年以下有期徒刑。

参阅

外部链接