小心誤入愛情森林,惡意網頁是幫凶。8月23日下午,
愛情森林病毒基本信息
病毒類型:木馬病毒
發作時間:隨機
傳播方式:郵件/網路/QQ誘騙
感染對象:網路
警惕程度:★★★★
病毒特色
此病毒具有以下四大特色:
一、 利用郵件包裝,形成自啟動郵件。
病毒的原始檔案是一個名為HACK.EXE的木馬病毒,病毒作者為了能使病毒“初戰告捷”,迅速占領用戶計算機,利用了OUTLOOK的郵件漏洞,將原始病毒包裝成一個可以預覽執行的病毒郵件:s.eml,然後放入一個惡意網頁中,等待下載。
二、 利用QQ工具,傳送偽裝信息。
如果用戶不小心點擊或預覽了病毒郵件,病毒便可執行。病毒執行時會搜尋用戶的QQ程式,如果用戶線上的話,病毒會偽裝成用戶,給用戶的所有線上的好友傳送一條用戶無法查覺的隱藏信息,此信息的內容為:“http://sckiss.yeah.net 這個你去看看!很好看的”如果用戶的好友在收到了此信息後,因為好奇而點擊了此連結,則會進入一個惡意網頁。
三、 利用惡意網頁幫凶,導致病毒泛
愛情森林病毒該惡意網頁用JS語言編寫,利用了JAVA EXPLOIT漏洞,所以不經用戶的允許,便可以悄悄運行自動下載“愛情森林”病毒郵件(s.eml)並執行。然後此惡意網頁會修改用戶註冊表進行破壞,將用戶的IE標題改為:“http://sckiss.yeah.net/愛情森林”,使用戶的“運行”選單項無法使用,並且將用戶的IE默認首頁改為:“http://sckiss.yeah.net/”,此惡意網頁還將此網址加入註冊表中的RUN自啟動項。這樣以來,無論用戶啟動計算機還是啟動IE瀏覽器,都可以自動連結到惡意網頁,感染病毒。
四、 侵占系統目錄,繼續“生生不息”。
“愛情森林”病毒通過QQ傳送信息之後,便開始進行本機的感染。病毒首先改名為:“EXPLORER.EXE”,然後將之拷貝到WINDOWS的系統目錄(SYSTEM或SYSTEM32)下,這樣用戶即使發現也不會起疑心,然後病毒修改註冊表,在RUN的自啟動項中建立一個EXPLORER的鍵值,將病毒路徑加入其中,一旦計算機重啟,病毒便可自動運行,再次進行以上感染。
病毒感染特徵
(一)病毒特徵
該木馬程式原始檔案名稱為hack.exe,用Delphi編寫,並用UPX進行了壓縮。木馬程式被運行後會:
1、複製自身到Windows作業系統的system目錄(通常為windowssystem)下,並改名為Explorer.exe。由於它和Windows目錄下的Explorer檔案同名,因此會迷惑用戶,使用戶誤認為這是一個正常的系統檔案。
2、修改註冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Explorer="%windowssystem%Explorer.exe",使木馬程式可以在開機後自動運行。(其中%windowssystem%為Windows的系統目錄)
3、該木馬程式還會在站點http://orchid.diy.163.com/下載檔案update.exe,並執行下載下來的程式,進行其它的破壞活動。
清除方法
(1)先打開任務管理器,結束掉位於下面的那個Explorer進程,然後刪除系統目錄下的木馬程式Explorer.exe。或者重新啟動到DOS下到system目錄直接刪除該木馬程式。
(2)打開註冊表編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。
愛情森林病毒(二)變種一病毒特徵
該病毒運行後會:
1、複製兩個自己的拷貝到Windows的系統目錄(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下,並分別更名為rundll.exe和sysedit32.exe。
2、修改註冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.exe",使木馬程式在開機後自動運行(其中%windowssystem%為Windows的系統目錄)。
3、修改註冊表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為%windowssystem%sysedit32.exe,關聯記事本,使用戶打開txt檔案時木馬程式能獲得運行機會。
4、該木馬會通過QQ程式向其它的QQ用戶傳送“http://sckiss.yeah.net,你快去看看”的訊息,誘導用戶瀏覽含有惡意代碼的網頁。
5、該木馬還會嘗試盜取QQ用戶的密碼並將其傳送至指定的信箱。有趣的是,由於病毒作者使用了一個組件來傳送郵件,因此當木馬程式執行傳送郵件的操作時,該組件可能會彈出兩個對話框,其中一個的內容為“220 welcom to Coremail system(With Anti-Spam) 2.1”,另外一個對話框為“Cannot open file .mima.txt”。
清除方法
(1)打開任務管理器,結束掉RUNDLL和SYSEDIT32進程。
(2)刪除系統資料夾(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下名為RUNDLL.exe和sysedit32.exe的檔案(檔案大小為1781752位元組)。
(3)打開註冊表編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為intarnet=%windowssystem%rundll.exe\"的鍵值。恢復HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為Notepad %1。(其中%windowssystem%為Windows的系統資料夾)
(4)若根目錄下存在檔案setup.txt或mima.txt,將其刪除。
病毒專殺工具介紹
金山毒霸--SCKISS愛情森林專殺工具 Build 2002.8.28.3
軟體大小: 35 KB
軟體語言: 簡體中文
軟體類別: 國產軟體 / 免費軟體 / 病毒防治
套用平台: Win9x/NT/2000/XP/2003
界面預覽: 無
更新時間: 2002-08-29 11:06:30
聯 系 人: antiviruskingsoft.net
開 發 商: http://www.iduba.net/downl...
軟體介紹:
金山毒霸率先截獲並處理“愛情森林”及其兩個變種,並製作專殺工具。專殺工具可以完全查殺“愛情森林”及其兩個變種:Trojan.SCKiss.176643B、Trojan.SCKiss.178752B、Trojan.SCKiss.126996B。
