这个情人节病毒出自病毒VBS/San作者之手,因为该病毒能够将IE的起始页设置为一个西班牙站点,这一点很像VBS/San。
此病毒将自身隐藏在一个HTML文件中,利用了Vbscript.Encode方式对自身代码进行加密,并利用了一个叫"Scriptlet.TypeLib"的漏洞。
当病毒代码被执行时,它将自身拷贝到c:\WINDOWS\Start Menu\Programs\Startup\
loveday14-b.hta,如果当前Windows的版本为西班牙版本,则病毒将自身拷贝到相应的c:\WINDOWS\Men?Inicio\Programas\Inicio\loveday14-b.hta下,同时在Windows\System目录下
创建文件main.html。
当系统重新启动后,loveday14-b.hta将被执行并显示包含下面内容的消息框,标题为
MSDOS.EXE:
病毒将自身发送给Outlook地址簿中的所有地址,邮件的主题行为空,并且该邮件不带附件,邮件主体是HTML格式的文件其中隐藏着病毒代码。
该病毒还企图向一些随机手机发送邮件信息,这些手机地址属于一家西班牙电信提供商。
邮件内容如下:
主题: "Feliz san valentin"
消息主体: "Feliz san valentin. Por favor visita" (followed by a link to a Spanish
website, infected by the virus author.)
该病毒还试图以"main.html"的形式通过mIRC发送自己。
如果当前日期为8,14,23,或29,病毒将用西班牙语的文本覆盖用户C盘上的所有文件,被覆盖的文件在保持原有文件名的基础上添加了一个.TXT扩展名。(例如原C盘下的command.com文件将变为comand.com.txt)。
这些被覆盖的文件中包含下面的文本:
Hola, me llamo Onel2 y voy a utilizar tus archivos para declararle mi amor
a Davinia, la chica mas guapa del mundo.
Feliz san Valentin Davinia. Eres la mas bonita y la mas simpatica.
Todos los dias a todas horas pienso en ti y cada segundo que no te veo
es un infierno.
Quieres salir conmigo?
En cuanto a ti usuario, debo decirte que tus ficheros
no han sido contaminados por un virus,
sino sacralizados por el amor que siento por Davinia.
一些隐藏部分的代码如下:
"Que cosa mas tonta".
"loveday14 by Onel2 Melilla, Espa馻"
"feliz san valentin davinia""