1)病毒体本身是VBS类或HTM类文件。
2)感染.VBS, .VBE, .JS, .JSE, .Css, .WSH, .SCT,
.HTA, .JPG, .JPEG, .mp3, .MP2类型文件。
程序流程:
1)利用FileSystemObject功能来进行文件的感染传播。
2)将自身代码拷贝到
"WINDOWS\SYSTEM\MSKernel32.vbs"、"WINDOWS\SYSTEM\Very Funny.vbs"或"WINDOWS\Win32DLL.vbs"文件中,生成三个备份。
3)修改注册表,使之指向MSKernel32.vbs或Win32DLL.vbs病毒文件,这样病毒在每次计算机启动进入WINDOWS系统时,主动运行,从而提高了病毒传播速度。
4)如果找不到”WINDOWS\SYSTEM\WinFAT32.exe”文件,则生成1-4之间的随机数,并更改默认网页,以便下载病毒文件。
5)从注册表中获得系统默认下载目录, 从中查找”WIN-BUGSFIX.exe”文件,如果找到,则修改注册表, 使之指向WIN-BUGSFIX.exe病毒文件,并将系统默认网页改回“about:blank”,这样做,可以使病毒只下载一次,便获得执行权,增加了病毒的隐蔽性。
6)在WINDOWS\SYSTEM目录下生成一个名为“Very Funny.HTM”的网页文件。
7)利用Outlook的MAPI功能,对Outlook地址本中的所有地址发送一封标题为“fwd: Joke”;附件为“WINDOWS\SYSTEM\ Very Funny.vbs”文件的E-MAIL,在Internet 中传播自身。
8)病毒在所有本地磁盘和网络磁盘搜索文件, 如果发现有扩展名.VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA,
.JPG, .JPEG, .MP3, .MP2的文件, 则用病毒体覆盖之; 如果发现“mirc32.exe, mlink32.exe, mirc.ini, script.ini, mirc.hlp”文件中的任何一个文件, 则建立一个名为“script.ini”的文件。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: 脚本病毒Script.LoveLetter,别名LoveLetter.c(1),依赖系统Win95/98/2000。
发现日期: 2001-11-22
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
