簡介
2006年3月8日瑞星全球反病毒監測網截獲一個利用hotmail傳送帶毒郵件的病毒,並命名為“hotmail蠕蟲(Worm.Hotmatom)”。“這是全球第一個專門針對Hotmail編寫的蠕蟲病毒,當用戶登入到MSN Hotmail傳送郵件的時候,會被偷偷插入帶毒連結,收信人點擊後就可能中毒。”瑞星反病毒專家說,感染該病毒的計算機會在區域網路中傳送垃圾訊息,並且在3月20日自動關機。
根據瑞星技術部門分析,病毒感染計算機後,會把自己複製到“windows”目錄下,病毒檔案名稱為“dho.exe”。病毒會修改註冊表,每次打開計算機後都自動運行,然後在後台監視用戶的IE瀏覽器。當用戶登入到MSN Hotmail傳送郵件時,病毒會在傳送的郵件後插入病毒文字和連結:“Hi, Happy San Valentin Day Download you Postcards from http://***.miarroba.com(情人節到了,去**網站下載賀卡吧)”,用戶點擊該連結後就會中毒。
瑞星反病毒專家介紹說,該病毒呈現出兩大特徵:第一,專門針對hotmail編寫,並且針對通過網路登入的hotmail用戶,如果用戶通過OE等客戶端發信,受影響就會比較小。第二,它只在用戶主動向外傳送Hotmail信件時才會插入病毒連線,由於收件人往往是傳送者的朋友和熟人,他們對熟人發來的信件往往沒什麼戒心,這樣就會被病毒所利用,點擊連結後就可能中毒。
破壞方法:採用VB編寫的
通過HOTMAIL傳播的蠕蟲
病毒特性
該蠕蟲運行後有以下行為:
一、複製自身
將自己複製為c:\filedebug.exe,c:\~str.txt.exe,
C:\WINDOWS\cursores\dho.exe。
2、給網路中的其他計算機傳送訊息
如果當前日期不是2006/3/20,則利用"net send"命令向區域網路中的所有計算機傳送“Se ha detectado un virus muy peligroso en la red, descarge gratis el
parche de esta pagina www.antivirusparcheatom.miarroba.com”的訊息。
3、自動關機
如果當前日期是2006/3/20,則運行C:\windows\system32\win_nt.bat並使用
“shutdown -s -t 60 -f”命令關機。
4、修改註冊表實現開機運行以及禁止任務管理器等功能
在hkcu\software\microsoft\windows\currentversion\run下增加數據項【atomix】,值為C:\WINDOWS\cursores\dho.exe,以實現開機啟動。
在hkcu\software\microsoft\windows\currentversion\policies
\system下增加數據項【disabletaskmgr】,值為1,以禁止任務管理器的使用。
蠕蟲還可能刪除hklm\software\microsoft和hklm\hardware這兩個鍵。
5、搜尋視窗,主動終止一些應用程式
搜尋標題為“Administrador de tareas de Windows”、“Panel de control”、“Editor del Registro”、“Utilidad de configuraci”、
“Restaurar sistema”等的窗體,並且主動關閉它們。?
6、搜尋標題欄有MSN Hotmail字眼的IE視窗,並模擬鍵盤輸入郵件內容
搜尋標題為“MSN Hotmail - Nuevo mensaje - Microsoft Internet Explorer”、
“MSN Hotmail - Responder - Microsoft Internet Explorer”、
“MSN Hotmail - New message - Microsoft Internet Explorer”的IE視窗,
並在當前編輯的郵件內容中加入以下信息:
“Hola, feliz dia de san valentin te hice una postal, descargala de aqui
http://romanticsletters.miarroba.com”、“Hi, Happy San Valentin Day Download
you Postcards from http://romanticsletters.miarroba.com”、“i want show you something, www.romanticsletters.miarroba.com”、“oye hasme un favor sip porfa, esque hice una postal
para alguien pero quiero ver si se ve,
ayudame, de aqui la descargas, yo la puedo ver pero puess
quiero ver si se ve en otro lado,
www.romanticsletters.miarroba.com,me dices ok?”
點擊郵件中的超連線可能會感染該蠕蟲。
解決方案:
針對“hotmail蠕蟲”惡性病毒,及時升級防毒軟體的病毒庫可以徹底查殺此病毒。