频道直达 - 专题 - 新闻 - 技巧 - 组网 - 开发 - 安全 - web编程 - 图像 - 操作系统 - 数据库 - 教育 - 旅游 - 健康 - 时尚 - 驱动 - 软件 - 游戏 - 多媒体 - ERP - 讨论组
阅读排行榜 | 收藏此文 | 收藏本站 | 设为首页

VBS.Loveletter.CN@mm

来源:QQread收集 作者: 出处:巧巧读书 2006-03-01 进入讨论组
病毒分类   网络 病毒名称   VBS.Loveletter.CN@mm  
别    名   VBS.Loveletter.CM@mm (AVX), VBS.Lopez.A@mm, JENNIFERLOPEZ_NAKED.JPG.vbs   病毒长度   17245字节
危害程度   一般 传播途径   邮件及网络  
传播程度   少 感    染   文件  
病毒发作    

这是一个Loveletter病毒家族的变种,该病毒通过下面的邮件传播:

主题:: Where are you?
消息主体: This is my pic in the beach!
附件: JENNIFERLOPEZ_NAKED.JPG.vbs

VBS.Loveletter.CN@mm还安装文件Cih_14.exe,该文件是CIH病毒的安装器,并企图运行CIH病毒。


当执行时,病毒VBS.Loveletter.CN@mm将试图完成下面的工作:

1、修改注册键中的"Timeout" 键值,这样当script运行较长时间系统不会显示消息。然后,病毒搜索所有可用的驱动器,查找具有下列扩展名的文件:

--扩展名为.vbe, .jpg, .jpeg 的文件被替换成script病毒的副本。

--扩展名为.js, .jse, .css, .wsh, .sct, 和.hta 的文件将被script病毒副本替换,并且文件的扩展名会添加.vbs 。例如:原文件Filename.wsh 变成Filename.wsh.vbs.

--扩展名为.mp2 和.mp3的文件被复制,副本的扩展名中将添加.vbs的后缀,原文件被标记为隐藏。

2、创建下面的注册键:
HKEY_CURRENT_USER\Software\JENNIFFERLOPEZ_NAKED\Worm made in algeria

3、添加注册键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
值:WORM wscript.exe \\JENNIFERLOPEZ_NAKED.JPG.vbs %
以便每次windows启动都运行该病毒。

4、检查注册键:
HKEY_CURRENT_USER\Software\JENNIFFERLOPEZ_NAKED的值是否为:mailed = 1
如果不是,则执行发送邮件功能,发送完邮件,将其值设为1。

5、蠕虫编写十六进制的文件并将其保存为\Windows\Cih_14.exe。该文件包含一个CIH病毒的安装器,之后执行该文件。一旦执行,病毒将驻留内存(win98/me),并感染PE可执行文件
备    注


专题:http://www.qqread.com/virusdb/m662514207.html进入讨论组讨论。
更多专题 【深 度 阅 读】 相 关 文 章
收藏此文】【 】【打印】【关闭
较早的文章:vienna.645

较新的文章:W32.Update.Worm
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
巧巧读书宗旨
相关专题
更多排行>>
讨论组问题推荐
站内各频道最新更新文档
站内最新制作专题
热门关键字导读
Photoshop教 程照片处理 照片制作 PS快捷键 抠图
计 算 机 故 障XP系统修复
艺 术 与 设 计设计 流媒体 设计欣赏 边框
计 算 机 安 全ARP
站内频道文章精选
新闻资讯
操作系统
桌面开发
数据库
电脑技巧
常用软件
网络程序开发
图像处理
巧巧电脑频道编辑信箱  告诉我们您想看的专题或文章