類別:郵件病毒
病毒資料:這是一個郵件病毒,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系統,此病毒利用網路共享傳播,並減低系統安全設定,到當收到、打開此病毒時,有以下危害:
A 在系統目錄下創建以下檔案
scanregw.exe
Winzip.exe
update.exe
WINZIP_TMP.EXE
SAMPLE.ZIP
New WinZip File.exe
B 在Windows目錄下創建 rundll16.exe 檔案
C 在當前目錄創建以下檔案
movies.exe
Zipped Files.exe
D 在系統目錄下創建空.zip檔案,將自身植入其中,然後打開用於隱藏病毒
E 加註冊表項"ScanRegistry" = "scanregw.exe /scan"到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run
使得病毒每次開機後自動執行
F 修改HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced的
註冊表項"WebView" = "0"
"ShowSuperHidden" = "0"
G 修改HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\CabinetState的註冊表項"FullPath" = "0"
H 修改HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Licenses的註冊表項入口
I 刪除程式目錄下的以下檔案,破壞防毒軟體
\DAP\*.dll
\BearShare\*.dll
\Symantec\LiveUpdate\*.*
\Symantec\Common Files\Symantec Shared\*.*
\Norton AntiVirus\*.exe
\ALWIL Software\Avast4\*.exe
\McAfee.com\VSO\*.exe
\McAfee.com\Agent\*.*
\McAfee.com\shared\*.*
\Trend Micro\PC-cillin 2002\*.exe
\Trend Micro\PC-cillin 2003\*.exe
\Trend Micro\Internet Security\*.exe
\NavNT\*.exe
\Morpheus\*.dll
\kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
\grisoft\AVG7\*.dll
\TREND MICRO\officescan\*.dll
\Trend Micro\OfficeScan Client\*.exe
\LimeWire\LimeWire 4.2.6\LimeWire.jar
J 遍歷註冊表
HKEY_LOCAL_MACHINE\Software\INTEL\LANDesk\VirusProtect6
\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\InstalledApps
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\101
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\Panda Antivirus 6.0 Platinum中的
"Home Directory"
"NAV"
"Folder"
"InstallLocation"
將從中發現的.exe 檔案刪除,破壞防毒軟體
K 遍歷註冊表 HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\InstalledProducts
\Kaspersky Anti-Virus Personal的"Folder",將從中發現的所有檔案刪除,破壞防毒軟體
L 遍歷註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\App Paths\Iface.exe的"Path"
將從中發現的.ppl和.exe檔案刪除,破壞防毒軟體
M 關閉包含以下字元的標題的視窗
SYMANTEC
SCAN
KASPERSKY
VIRUS
MCAFEE
TREND MICRO
NORTON
REMOVAL
FIX
N 從註冊表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices
中,刪除以下註冊表值
PCCIOMON.exe
pccguide.exe
Pop3trap.exe
PccPfw
Tmproxy
McAfeeVirusScanService
NAVAgent
pccclient.exe
SSDPSRV
rtvscn95
defwatch
vptray
ScanInicio
APVXDWIN
KAVPersonal50
kaspersky
TMOutbreakAgent
AVG7_Run
AVG_CC
Avgserv9.exe
avgw
AVG7_CC
AVG7_EMC
VetAlert
VetTray
OfficeScanNTMonitor
avast!
DownloadAccelerator
BearShare
O 從具有以下擴展名和名為CONTENT. 和TEMPORARY的檔案中搜尋郵件地址
.htm
.dbx
.eml
.msg
.oft
.NWS
.vcf
.mbx
.imh
.txt
.msf
P 使用自帶的SMTP地址郵件引擎,傳送自身到蒐集到的地址,郵件為
以下之一的標題
*Hot Movie*
A Great Video
Fw:
Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
School girl fantasies gone bad
以下之一的內容
Note: forwarded message attached. You Must View This Videoclip!
>> forwarded message
Re: Sex Video
i just any one see my photos.
It's Free :)
The Best Videoclip Ever
Hot XXX Yahoo Groups
Fuckin Kama Sutra pics
ready to be FUCKED ;)
forwarded message attached.
VIDEOS! FREE! (US$ 0,00)
What?
i send the file.
Helloi attached the details.
Thank you
the file i send the details
hello,
Please see the file.
how are you?
i send the details.
以下之一的附屬檔案名
007.pif
392315089702606E-02,.scR
677.pif
Adults_9,zip.sCR
Arab sex DSC-00465.jpg
ATT01.zip.sCR
Attachments[001],B64.sCr
Clipe,zip.sCr
document.pif
DSC-00465.Pif
DSC-00465.pIf
eBook.pdf
eBook.PIF
image04.pif
New Video,zip
New_Document_file.pif
photo.pif
Photos,zip.sCR
School.pif
SeX,zip.scR
Sex.mim
Video_part.mim
WinZip,zip.scR
WinZip.BHX
WinZip.zip.sCR
Word XP.zip.sCR
Word.zip.sCR
04.pif
DSC-00465.Pif
DSC-00465.pIf
image04.pif
以下之一的附屬檔案MIME編碼名稱
3.92315089702606E02.Uue
Attachments[001].B64
Attachments00.hqx
Attachments001.BHX
eBook.Uu
Original Message.B64
Sex.mim
SeX.mim
Video_part.mim
WinZip.BHX
Word_Document.hqx
Word_Document.uu
以下之一的編碼檔案名稱
392315089702606E-02
Clipe
Miss
Photos
Sweet_09
以下之一的編碼檔案擴展名
.b64
.BHx
.HQX
.mim
.uu
.UUE
.XxE
或以下編碼檔案名稱
392315089702606E-02,UUE[BLANK SPACES].scr
Adults_9,zip[BLANK SPACES].scr
ATT01.zip[BLANK SPACES].scr
Atta[001],zip[BLANK SPACES].scr
Attachments,zip[BLANK SPACES].scr
Attachments[001],B64[BLANK SPACES].scr
Clipe,zip[BLANK SPACES].scr
New Video,zip[BLANK SPACES].scr
Photos,zip[BLANK SPACES].scr
SeX,zip[BLANK SPACES].scr
WinZip,zip[BLANK SPACES].scr
WinZip.zip[BLANK SPACES].scr
Word XP.zip[BLANK SPACES].scr
Word.zip[BLANK SPACES].scr
Q 搜尋以下名稱的網路共享,複製自身到共享為 WINZIP_TMP.EXE:
ADMIN$
C$
病毒同樣複製自身到能夠使用入口令破解的網路共享
R 訪問以下URL,統計病毒感染計數和用戶作業系統、IE等信息
http://webstats.web.rcn.net/[已刪除]/Count.cgi?df=765247
S 使用 WNetOpenEnum 遍歷計算機
T 執行命令 "net use /user:administrator" 連線遍歷到的計算機,病毒跳過已感染的計算機
U 對能夠連線上的計算機刪除以下檔案
\C$\Program Files\Norton AntiVirus
\C$\Program Files\Common Files\symantec shared
\C$\Program Files\Symantec\LiveUpdate
\C$\Program Files\McAfee.com\VSO
\C$\Program Files\McAfee.com\Agent
\C$\Program Files\McAfee.com\shared
\C$\Program Files\Trend Micro\PC-cillin 2002
\C$\Program Files\Trend Micro\PC-cillin 2003
\C$\Program Files\Trend Micro\Internet Security
\C$\Program Files\NavNT
\C$\Program Files\Panda Software\Panda Antivirus Platinum
\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro
\C$\Program Files\Panda Software\Panda Antivirus 6.0
\C$\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus
V 對複製了病毒的共享計算機設定計畫任務,設為在被複製後的那個小時的最後一分鐘執行病毒
at :59 /interactive \\\Admin$\WINZIP_TMP.exe
at :59 /interactive \\\C$\WINZIP_TMP.exe
病毒FAQ:Windows下的PE病毒
發現日期:2006-1-24
參考資料:http://www.viruschina.com/news/Vdatabase_detail.asp?id=5108
