名稱
I-Worm/Wallon病毒長度:36,352 bytes, 150,528 bytes
病毒類型:網路蠕蟲
危害等級:**
影響平台:Win9X/2000/XP/NT/Me/2003
內容
I-Worm/Wallon是一個經ASPack壓縮的群發郵件蠕蟲,傳送的郵件信息包含一個下載蠕蟲體的超鏈URL。蠕蟲利用IE弱點(MS04-004)顯示一個連結,點擊連結後便開始下載 "wmplayer.exe"檔案到 Windows Media Player 資料夾,再利用Outlook Express的漏洞(MS04-013)下載並執行檔案。傳播過程及特徵:
1.修改註冊表:
/生成下列子鍵,導致在IE工具列上添加了五個按鈕:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\
且五個按鈕同時都指向:http:/ /www.google.com.super-fast-search.apsua.com
/如果鍵值:"Wh"="Yes"在註冊表HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main下沒有發現則進行添加。
2.修改IE默認起始頁為:http:/ /www.google.com.super-fast-search.apsua.com/fast-find.htm 修改默認搜尋頁為:http:/ /www.google.com.super-fast-search.apsua.com/search.htm
3.從特定的網站下載檔案並存儲到C:\Alpha.exe,檔案被執行後殘體常駐記憶體。
4.從Windows地址簿下收集郵件地址,並放棄包含下列字元串的地址:
microsoft
support
software
webmaster
postmaster
admin
利用自帶的SMTP引擎傳送自身到上述地址,郵件特徵:
發件人:從註冊表HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts下發現的郵件地址
主題:RE:
正文:包含http://drs.yahoo.com/<域名>/NEWS連結的內容
5.蠕蟲可能傳送郵件地址列表到 [email protected]。
6.周期性的執行一個定位到http://pixpox.com的cgi腳本檔案。
註:%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), 或
C:\Windows\System32 (Windows XP)。
