● VBS.SweetKiss病毒 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: Mic (至酷霸王丸), 信区: Virus
标  题: VBS.SweetKiss病毒
发信站: 荔园晨风BBS站 (Fri May 18 12:45:47 2001), 转信

VBS.SweetKiss病毒

病毒名称：VBS.SweetKiss
病毒类型：VB SCRIPT病毒

病毒简介：

当人们刚刚从主页病毒(VBS.HomePage)和快乐时光(VBS.HappyTime)的阴影中走出
来，一个新 VBS 脚本病毒又开始利用邮件传播了。VB Script，这种简单易用的语
言，似乎正在成为病毒作者新的利器。
和其他同类病毒一样，这个看似温柔浪漫的病毒主要是利用电子邮件通过互联网进
行传播，在本地局域网里通过文件进行感染。当你的信箱中出现一封主题为“Give
a sweet kiss to you!”(给你一个甜蜜的吻)的邮件时，表明它已经光临到你的
机器上来了。赶紧删除它吧！

== 病毒行为简介 ==
该病毒一旦被执行，它立刻在 %Windows\System% 目录下生成病毒代码文件
Sweet-Kiss-For-You.TXT.vbs，并增加到 Windows 的注册表启动项中以便每次开
启计算机时都会被执行。在安装有 Microsoft Outlook 的计算机上，该病毒象所
有的邮件病毒一样大量散发邮件，它会查找所有的 Outlook 地址簿，枚举出全部
的联系人地址，然后发送邮件，邮件信息如下：
邮件主题：Give a sweet kiss to you! -----主页。
邮件正文：Hi! Check the attached LETTER. Love you!Kiss Me, please!
-----嗨！快检查附件。我爱你，吻我。
邮件附件：Sweet-Kiss-For-You.TXT.vbs -----伪装为主页的病毒代码，大小为
7,376 字节

和原病毒 VBS.Gabry 一样，该病毒在所有目录下查找是否存在 mirc.ini(一个聊
天客户端 mIRC 程序的配置文件) 和 Pirch32.exe(一个聊天工具) 文件，若存在
，则在此目录下分别创建 script.ini 和 events.ini 文件(目的是通过聊天工具
散发病毒)；然后，遍历所有驱动器(包括网络驱动器)上的目录，查找 vbs 和 vbe
文件，将其内容修改为病毒代码。最后，它会穷凶极恶地删除从 a: 一直到 z:
(除 c: 盘外)所有驱动器根目录下的文件。为了防止修改注册表的行径被发现，它
还禁用了注册表工具，使所有对注册表的访问(如 RegEdit 等)都会失败。
从病毒代码头部的“Vbs.Kiss_Worm Created By NILEI,From China.
<0_nearly@sina.com>”信息可以初步判断，该病毒来源于中国，作者的昵称是
NILEI(0_nearly@sina.com)，其中大部分代码来源于 VBS.Gabry 病毒。

== 病毒的文件访问 ==
1、在 %Windows\System% 目录下生成 Sweet-Kiss-For-You.TXT.vbs 病毒代码文
件；
2、在安装 mIRC 和 Pirch32 的机器上创建 script.ini 和 events.ini 文件；
3、感染所有 vbs 和 vbe 文件内容为病毒代码；
4、删除 a: - z: 盘根目录下的文件。

== 病毒的注册表访问 ==
1、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows 值为
"wscript.exe %Windows\System%\Sweet-Kiss-For-You.TXT.vbs"；
2、HKCU\software\Kiss_Worm\mailed 值为 1(发送邮件后)；
3、HKCU\software\Kiss_Worm\mirqued 值为 1(创建 script.ini 文件后)；
4、HKCU\software\Kiss_Worm\pirched 值为 1(创建 events.ini 文件后)；
5、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Sys
tem\DisableRegistryTools 值为 1(注册表工具不可用)。

== 病毒的危害 ==
1、删除 a: - z: 盘根目录下的所有文件；
2、破坏 vbs 和 vbe 文件的内容(被修改成病毒代码)；
3、大量散发病毒邮件，本地的联系人地址越多，散发邮件数量也越多；
4、注册表工具不可用。

== 病毒的清除 ==
1、金山毒霸可以安全地查杀该病毒，正版用户请到金山毒霸主页上升级；
2、手工清除：
(1)删除计算机中所有 vbs 和 vbe 文件(使用查找命令)；
(2)删除 script.ini 和 events.ini 文件(使用查找命令)；
(3)删除带有病毒的邮件；
(4)使注册表工具可用(**注)；
(5)删除以下注册表键值：
a、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows；
b、HKCU\software\Kiss_Worm\mailed；
c、HKCU\software\Kiss_Worm\mirqued；
d、HKCU\software\Kiss_Worm\pirched；
e、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Sys
tem\DisableRegistryTools

**注：
恢复注册表工具可采用以下简单方法：
新建一个文本文件，输入以下内容：
Set wso = CreateObject("WScript.Shell")
wso.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Sy
stem\DisableRegistryTools", 0, "REG_DWORD"
以文件名 "EnablReg.vbs" 存盘；
双点该文件运行；然后删除该文件。

            ┏━━━━━━━━━━━━━━┓
            ┃ 重 ┆ 考 ┆ 佛 ┆ 睡 ┆ 枯 ┃
            ┃ 修 ┆ 卷 ┆ 祖 ┆ 觉 ┆ 等 ┃
            ┃ 人 ┆ 发 ┆ 耶 ┆ 收 ┆ 乾 ┃
            ┃ 在 ┆ 下 ┆ 稣 ┆ 拾 ┆ 坐 ┃
            ┃ 深 ┆    ┆ 安 ┆ 回 ┆ 涂 ┃
            ┃ 大 ┆    ┆ 拉 ┆ 家 ┆ 鸦 ┃
            ┗━━━━━━━━━━━━━━┛

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店