警惕程度:★★★★★
發作時間:隨機
病毒類型:蠕蟲病毒
傳播途徑:網路/郵件
依賴系統:WINDOWS 9X/NT/ 2000/XP
病毒介紹
病毒啟動三個執行緒:
第一個執行緒:監視自己的註冊表值。如果被修改病毒將改回病毒設的值。並且病毒將遍歷所有硬碟分區,進行檔案刪除破壞。
第二個執行緒:監視系統並生成病毒信息檔案winfile.dll,該檔案中有病毒保存的隨機病毒名。
第三個執行緒:負責進行網路傳播。
本身特性
一、拷貝自身,完成感染
病毒運行後會首先將自身複製到多份到作業系統的目錄和作業系統下的SYSTEM目錄,名字一般是隨機的,但有兩個病毒主程式的名字是固定的:一個是病毒的主程式體:rundll16.exe,存在於系統目錄下,它主要用於病毒的正常運行;一個是病毒的配置檔案:WINFILE.DLL,存在於系統的SYSTEM目錄下,它主要用於病毒保存一些病毒生成的檔案信息。
二、修改註冊表,進行自啟動
病毒會將病毒主程式體的路徑加入註冊表的自啟動項,每次開機都引導病毒。病毒會在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中添加鍵值:LoadCurrentProfile,內容為:Rundll16.exe, powprof.dll,LoadCurrentUserProfile.
三、首次運行,欺騙用戶
如果病毒是被用戶雙擊而且是首次運行,病毒會彈出一個WINZIP的錯誤框,告訴用戶:“你的WINZIP自解壓版本未被許可,或者許可信息丟失或不正確,請聯繫程式作者或登入www.winzip.com網站獲得更多信息”,用戶一般的反映是此檔案已經損壞而將之刪除,其實病毒已經運行。
四、修改EXE檔案關聯,運行任何程式等於運行病毒
病毒會將註冊表中的與.EXE檔案類型的關聯指向病毒體,這樣,用戶運行任何程式都等於運行了病毒,而且為了不引起用戶的懷疑,病毒在運行後會將用戶要執行的程式繼續運行。
五、啟動多執行緒,監控註冊表與自身
病毒運行時會啟動多個執行緒。其中一個執行緒負責監視註冊表的操作,另一個執行緒負責監控自身的檔案。如果病毒發現註冊表中被病毒寫入的兩個鍵值被修改,或者病毒檔案被用戶嘗試刪除,病毒則會將自己休眠5秒,然後進行報復,將用戶硬碟中的所有檔案都進行刪除,使用戶資料丟失。
六、刪除所病毒軟體
病毒會對十幾家知名防毒軟體進行攻擊,如果病毒運行時發現有它認識的防毒軟體的主程式,則將之殺掉。
七、區域網路與郵件傳播
病毒在有網路連線的前提下,會在區域網路中快速傳播自身,並通過郵件系統,建立主題與內容隨機的病毒郵件,在網際網路中大量傳播自身。
八、修改多處系統配置檔案
病毒還會修改多處系統檔案如:MSDOS.SYS, WIN.INI等,而且在病毒體發現病毒有生成腳本檔案的代碼,但在動態分析過程中未能再現此動作。
技術特點
該病毒使用高級語言編寫,採用UPX壓縮來減小自身長度,來更有效的實現傳播。此次最新變種除了使用傳統的郵件傳播方式外,還增加了利用聊天室工具和點對點工具來傳播的方式,以及使用網路共享進行傳播。
1、病毒首次運行時實現偽裝
病毒首次被運行時會顯示一些Windows正常程式常見的出錯提示,病毒就以此來實現偽裝,達到欺騙用戶的目的,讓用戶放鬆對該程式的警惕,從而使病毒獲得完全運行。
2、全方位的病毒自我載入
病毒感染系統成功後,會自我複製到系統安裝目錄下,病毒採用隨機生成的病毒名。然後採用多種方式來實現病毒的自工載入。如下:
(1)修改註冊表的啟動項
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
<隨機鍵名>= <病毒程式名> powrprof.dll, LoadCurrentPwrScheme
(2)修改EXE和REG檔案關聯
EXE檔案是WINDOWS默認的可執行程式檔案,REG為註冊表檔案。當更改了這兩種檔案的關聯後,每次運行EXE檔案和打開REG檔案時,都會再次激活病毒程式。
(3)添加Win.ini檔案的啟動項
(4)添加分區啟動檔案
病毒會在每個硬碟分區添加啟動檔案,使其指向病毒程式。當打開“我的電腦”里的硬碟時就會自動激活病毒。
3、採用多種方式保證自己的有效運行
(1)病毒啟動多執行緒技術來監控註冊表和自己
(2)刪除多種知名防毒軟體
4、多種傳播方式
(1)病毒會自動傳送帶毒郵件
(2)病毒利用一些常用的聊天軟體(mIRC)、點對點軟體(KaZaA)進行傳播
(3)利用區域網路的已分享資料夾進行傳播
發現與清除
1. 病毒運行時會首先釋放三個病毒體到系統:DX89AM32.EXE、DESK.EXE、COMMON.EXE,然後釋放FAITH.INI檔案,最後病毒還會釋放幾個sys和def檔案,名稱隨機。是病毒的配置檔案。用戶可以搜尋計算機,來查找這些檔案,找到後,可以將它們直接刪除,如果有些檔案無法刪除,則可以退到DOS下來做刪除操作。
2. 病毒通過三種方式自啟動:
1> 寫入註冊表項HKLM\Software\Microsoft\Windows\CurrentVersion\Run,在其中建立名稱為:“LoadSystem”和“CommonAgent”的病毒自啟動鍵值。
2> 如果根目錄有檔案Autorun.inf ,則病毒將自己寫入,以便用戶查看分區時病毒感染。
3> 修改win.ini的run項,在其中加入病毒的自啟動路徑。
用戶可以按照上面說的,用REGEDIT等註冊表編輯工具來刪除在註冊表中產生的病毒鍵值,如果用戶分區中,如C糟存在有Autorun.inf檔案,則最好將這個檔案刪除,如果確實是用戶需要的檔案,則用戶可以用記事本等文本編輯工具來查看Autorun.inf檔案,看其中是否有病毒相關的項,如果有,則可以將它們刪除;用戶還需要查看系統目錄下的WIN.INI檔案內容,看其中的啟動項是否被替換成病毒的路徑,如果有,則將這一項刪除。
3. 病毒會修改註冊表項設定:exefile\shell\open\command,接管exe檔案關聯。當用戶運行程式時,病毒首先被啟動,如果程式名稱中包含下列字元串,則病毒拒絕執行該程式,這樣這些防毒軟體就會失效:virus、norton、black、cillin、labs、zone、firewall、sophos、trend micro、mcafee、guard、esafe、lockdown、conseal、antivir、f-secure、f-prot、fprot、kaspersky 、panda,用戶要想修改這個關聯鍵值,必須對註冊表非常熟悉,否則會出現其它異常情況,用戶最好能用一些專業的工具如“超級兔子”來進行修改,或用該病毒的專殺工具來自動將這一鍵值改回
4. 病毒會遍歷記憶體中的所有進程,發現記憶體中有上述名稱的進程在活動,則直接殺死該進程,使這些正在運行的防毒軟體立刻失效。
5. 病毒會遍歷作業系統的所有視窗,發現包含有下列字元串的視窗標題時,病毒就會給這些視窗傳送“WM_CLOSE”訊息,將這些視窗關閉,因為這些視窗都是防毒軟體的主程式視窗,所以病毒運行後,這些防毒軟體的防毒界面將無法再顯示,以下就是病毒關閉的視窗名稱字元串:
black | panda | shield | guard | scan | mcafee | nai_vs_stat |
iomon | navap | avpalarm | f-prot | secure | labs | antivir |
6. 病毒會遍歷硬碟中的所有目錄,包括區域網路中的已分享資料夾與默認已分享資料夾,並釋放病毒拷貝,名稱隨機,檔案後綴為以下字元串,病毒產生後綴名為:.pif、.scr、.asf、.mpg,附錄中會提供可能的病毒名,
7. 病毒創建註冊表exe檔案關聯項和系統目錄的監控執行緒,當用戶手工更改註冊表相關設定,或刪除系統中的病毒檔案時,會被病毒自動恢復。
8. 如果用戶的計算機中有mIRC即時通信軟體,則病毒會釋放自己的ini檔案,然後利用這些軟體來傳播自己,以下是病毒建立的INI檔案列表:mirc.ini、channel.ini、help.ini、remotes.ini、controls.ini、logs.ini、notes.ini、version.ini。
9. 病毒會頻繁地搜尋標題為“Outlook Express”、“Choose Profile”和“Internet Mail”的視窗,發現後並將其隱藏。這樣當病毒使用系統MAPI向外傳送病毒郵件時,用戶就無法察覺。
10. 病毒會查詢本地的郵件伺服器設定,然後利用MAPI傳送帶毒郵件。這個郵件利用了MIME漏洞,只要用戶預覽自動運行。郵件正文包含下列信息:
Yahoo! Greetings is a free service. If you'd like to send someone a Yahoo! Greeting, you can do so at http://greetings.yahoo.com %s sent you a Yahoo! Greeting_ [email protected] Yahoo!Tennis.scr Yahoo! Team is proud to present our new surprise for the clients of Yahoo! and Yahoo! Mail. We plan to send you the best Yahoo! Games weekly. This new service is free and it's a gift for the 10th anniversary of Yahoo!. We hope you would like it. The whole Yahoo! Team wants to express our gratitude to you, the people who helped us to improve Yahoo! so much, that it became the most popular worldwide portal. Thank You! We do our best to serve you. |
發現這種內容的郵件時,用戶可直接將這些檔案刪除。
11. 病毒會創建註冊表exe檔案關聯項和系統目錄的監控執行緒,只要用戶手工更改設定或刪除系統中的病毒檔案,病毒就會發覺,然後會自動恢復成原來的狀態。
12. 如果有mIRC通信軟體,病毒會釋放自己的ini檔案,利用這些軟體傳播自己。 以下是病毒釋放的病毒檔案:Mirc.ini、channel.ini、help.ini、remotes.ini、controls.ini、logs.ini、notes.ini、version.ini,如果用戶安裝了mIRC軟體,可以檢查一下軟體目錄中是否存在有這些檔案,如果有則可能中了該病毒,需要用防毒軟體清除病毒,或重裝該軟體。
四大劣跡
劣跡一:該病毒會通過寫註冊表、寫分區自啟動檔案、寫系統啟動檔案三種方面來達到病毒隨系統啟動的目的,只要硬碟上存在有病毒的檔案,用戶無需直接運行該病毒,就能自動將病毒執行起來。
劣跡二:該病毒會接管EXE的檔案關聯,當系統運行任何程式時都會先將病毒執行起來,而該病毒還有幹掉國外十幾家知名防毒軟體的特性,因此安裝了這些防毒軟體的用戶只要啟動計算機,這些防毒軟體就會被自動幹掉。
劣跡三:該病毒還具有很強的網路傳播特性。病毒運行時會將自己拷貝到區域網路的所有計算機的已分享資料夾之中,然後採用雙後綴的技術將自己偽裝成多種類型媒體檔案和捷徑的形式,如果用戶誤因為是媒體檔案或捷徑而點擊的話,病毒就會立刻被激活,從而導致整個區域網路帶毒。
劣跡四:該病毒還會利用郵件漏洞向外傳送大量的,用戶只預覽就能運行病毒的帶毒郵件,而且該病毒在傳送郵件時還會隱藏一些常用發信工具的發信視窗,從而使用戶毫無覺察。
相關下載
瑞星別惹我(Worm.Roron)病毒專殺工具 http://it.rising.com.cn/service/technology/RS_roron.htm
常見計算機病毒
隨著電腦的普及,幾乎所有的電腦用戶都已知道“計算機病毒”這一名詞。對於大多數計算機用戶來說,談到“計算機病毒”似乎覺得它深不可測,無法琢磨。那么比較常見的病毒有哪些呢? |