“我爱你”病毒的相关技术资料及解决办法 -天瑞科技，深圳电脑维修，深圳电脑维护

VBS_LOVELETTER 　　

破坏性：高破坏性　　

别名： LOVELETTER, Love Bug, Very Funny

描述：警报：该病毒正在迅速流传和蔓延中　　

该病毒怀疑源自菲律宾的马尼拉的“spyder of the @GRAMMERSoft Group”组织，感染安装了Windows Scripting Host（WSH）的Windows 9x或NT系统。该病毒是用VBScript编制的，其传播机理和“梅莉莎”类似，都是通过Microsoft Outlook发送带附件名为“LOVE-LETTER-FOR-YOU.TXT.vbs”的邮件给用户地址簿里所有的地址来传播的，主题为“I LOVE YOU”，主体为“kindly check the attached LOVELET TER coming from me（译：请您收下这份情书）”，另外一个带毒的附件。LOVELETTER还可以通过修改mIRC的“script.ini.”文件，当用户通过mIRC连接到服务器时，病毒启动DCC给当前频道的所有用户发送一个名为“LOVE-LETTER-FOR-YOU.HTM”的附件已达到传播的目的。该蠕虫有6个变种（变种A:长度： 10,307字节；，变种 B:长度：10,396字节；变种 C:长度：10.205字节；变种 D:加了空行；变种E：加长2字节；变种 F：短几个字节）

该病毒感染力极强，可寻找本地驱动器和映射驱动器，并在所有的目录和子目录中搜索可以感染的目标。　　

该病毒感染如下扩展名的文件：vbs, vbe, js, jse, css, wsh, sct,hta, jpg, jpeg, mp3, or mp2，当蠕虫找到有以上扩展名的文件时，用病毒代码覆盖文件原来的内容，并将后缀修改为vbs，随后毁掉宿主文件。　　一旦病毒运行，将会在系统中留下以下文件：　　

\windows\Win32DLL.vbs 　　

\system\MSKernel32.vbs 　　

\system\LOVE-LETTER-FOR-YOU.TXT.vbs. 　

该病毒还修改注册表中的一些路径以达到Windows启动时运行的目的，

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion\Run\MSKernel32,:\windows\system \MSKernel32. vbs HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion\RunServices\Win32DLL”, :\windows\\Win32DLL.vbs.

该病毒在\windows\system的子目录下查找名为WinFAT32.exe的文件，然后将ＩＥ默认的启始页修改为以下站点之一：
http://www.skyinet.net/~young1s/HJKhjnwerh jkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/WIN- BUGSFIX.exe
http://www.skyinet.net/~angelcat/skladjflfdjghKJnwe tryDGFikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN -BUGSFIX.exe 　　
http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198v bFV5hfFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe 　　
http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLH jkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbv nmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe 　　

另外该病毒还在\windows\system 下搜索名为WIN-BUGSFIX.exe的文件，如果该文件不存在，则修改ＩＥ的默认启始页面为“about:blank”，修改注册表键值：HKEY_LOCAL_MACH INE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-B UGSFIX为“ \WIN-BUGSFIX.exe ”。 (资料由趋势公司提供)

解决方案：　　

1．在开始菜单中选“运行” 　　

2．输入“Regedit”并回车　　

3．在注册表编辑器的左边一栏内选“HKEY_LOCAL_MACHINE／Software／Micro soft／Windows／CurrentVersion／Run” 　　

4．在右边栏内查找值为“:\Windows\System\ MSKernel32.vbs”和“\WI N-BUGSFIX.exe”的键，　　

5．这些键值使得病毒在Windows启动的时候得以运行，　　

6．选中这些键并删除。　　

7．在注册表中查找键值为“:\Windows\System\ Win32DLL.vbs”的键，　　

8．选中并删除。　　

9．退出注册表。　　

10．从开始菜单中选择“关闭系统”的“重新启动计算机并启动到MS-Dos方式”。　　

11．进入缺省目录“C:\”之后，　　

12．接着输入DEL WIN-BUGSFIX.exe，　　

13．回车。　　

14．重启计算机。　　

15．你还可以删除由趋势反病毒软件检测到的带有VBS_LOVELETTER病毒的文件来确保病毒不再能感染。　　

要从注册表中将VBS_LOVELETTER感染了的HTML和TXT文件删除干净，请点击趋势给您提供的一个免费工具（该工具无法删除VBS_LOVELETTER，要清除该病毒，必须升级病毒码或使用“HouseCall ”）。

本地免费下载

软件说明：该软件是一个DOS程序，若系统未被感染或已经被反病毒软件查杀干净了，会在屏幕上显示一句“Your system is safe from “I LOVE YOU” VBS virus”，如图。此程序能够阻止系统被该病毒感染，但不可查杀已感染的文件，如需查杀，请使用趋势公司的反病毒软件。