病毒名稱
Worm.Opossum.a病毒別名:Email-Worm.Win32.Opossum.a 【AVP】
處理時間:
威脅級別:★★
中文名稱:負鼠
病毒類型:蠕蟲
影響系統:Win9x / WinNT
病毒行為
:這是一個通過電子郵件、網路共享和二款IRC聊天軟體(mIRC和PIRCH98)傳播的蠕蟲病毒。該病毒採用了WORD文檔的圖示,取了個比較有吸引力的名字,用戶很可能誤以為這是一個WORD文檔而好奇地去打開它,從而感染該病毒。該病毒發作的時候會將自己拷貝到系統目錄、臨時目錄和桌面,這些病毒副本也都採用WORD文檔的圖示,因此非常具有欺騙性。該病毒會修改.exe、.key、.ini和.reg的檔案關聯到病毒檔案,使得每次打開這些類型檔案的時候該病毒都會得到運行。病毒會禁止使用“運行”和“資料夾選項”,並共享系統磁碟。每月的1號、15號、25號該病毒都會嘗試關閉系統,但由於某種原因這個動作並沒有得到實施。通過在mIRC和PIRCH98的腳本配置檔案中寫入一些內容,使得該病毒也能通過這二個IRC聊天系統傳播。病毒會以Microsoft的名義回復Outlook裡面的郵件,這些郵件都帶有病毒的副本,郵件正文欺騙用戶打開附屬檔案,導致感染病毒。
病毒檔案:
禁止使用“資料夾選項”:
1)將病毒拷貝到:
桌面\Sir.d4ng3
%Temp%\help32.exe
%SystemDriver%\ntdetect32.exe
%SystemDriver%\Trash\svchost.exe
%System%\regedit.exe
%System%\regedit32.exe
%System%\regscan32.exe
%System%\Preventivo.doc【若干個空格】.pif
%System%\Documents.doc【若干個空格】.pif
%System%\Documento.doc【若干個空格】.pif
%System%\logo10090.gif【若干個空格】.pif
%System%\excel_file.doc【若干個空格】.pif
%SystemRoot%\598
%SystemRoot%\w32.exe
%SystemRoot%\regedit.exe
%SystemRoot%\regedit32.exe
%SystemRoot%\ntdetect32.exe
2)在註冊表中為病毒添加啟動項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"NetSyStem"="Sir.d4ng3"
"Microsoft"="%SystemRoot%\w32.exe"
"ScanRegistry"="%System%\regscan32.exe"
(Default)="%Temp%\help32.exe"
"Trash"="%SystemDriver%\Trash\svchost.exe"
"【隨機名稱】"="%SystemRoot%\598"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
(Default)="%SystemRoot%\ntdetect32.exe"
3)修改.reg、.key、.ini和.exe的檔案關聯到病毒檔案:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open
"command"="D4nG3"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\keyfile\shell\open
"command"="D4nG3"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open
"command"="D4nG3"
HKEY_CLASSES_ROOT\.d4ng3
(Default)="exefile"
HKEY_CLASSES_ROOT\.d4ng3\PersistentHandler
(Default)=""
4)禁止使用“運行”和“資料夾選項”,並共享系統磁碟。
5)每月的1號、15號、25號該病毒都會嘗試關閉系統,但由於某種原因這個動作並沒有得到實施。
6)向mIRC的腳本配置檔案script.ini中寫入以下內容,使得病毒能通過該系統傳播:
【script】
n0=ON 1:JOIN:#:/dcc send $nick 【源病毒路徑】
7)向PIRCH98的腳本配置檔案events.ini中寫入以下內容,使得病毒能通過該系統傳播:
【Levels】
Enabled=1
Count=6
Level1=000-Unknowns
000-UnknownsEnabled=1
Level2=100-Level 100
100-Level 100Enabled=1
Level3=200-Level 200
200-Level 200Enabled=1
Level4=300-Level 300
300-Level 300Enabled=1
Level5=400-Level 400
400-Level 400Enabled=1
Level6=500-Level 500
500-Level 500Enabled=1
【000-Unknowns】
User1=*!*@*
UserCount=1
Event1=ON JOIN:#:/msg $nick Hi there
EventCount=1
【100-Level 100】
User1=*!*@*
UserCount=1
Event1=ON JOIN:#:/dcc send $nick 【源病毒路徑】
EventCount=1
【200-Level 200】
UserCount=0
EventCount=0
【300-Level 300】
UserCount=0
EventCount=0
【400-Level 400】
UserCount=0
EventCount=0
【500-Level 500】
UserCount=0
EventCount=0
8)以Microsoft的名義([email protected])給Outlook裡面的郵件回信:
取下面的某一行做為郵件的主題:
Microsoft Updates News
Security Updates News
Service Pack 2 Updates News
System Updates News
Microsoft Operating System Updates News
Microsoft's big security Update News
Update News
Microsoft News
Microsoft Update News Letter
Microsoft Security Updates News
郵件正文:
Service pack 2 is due soon for microsoft users, Bug fixes, internet explorer patches and NEW security features. Please read more from the file attcahed to this microsoft news letter.
取下面的某一行做為郵件附屬檔案名:
Preventivo.doc【若干個空格】.pif
Documents.doc【若干個空格】.pif
Documento.doc【若干個空格】.pif
logo10090.gif【若干個空格】.pif
excel_file.doc【若干個空格】.pif
9)通過修改註冊表為病毒的運行創造條件:
HKEY_LOCAL_MACHINE\Software
"sshare"="In Progress.."
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Shares
"garbage"="CSCFlags=0"
HKEY_CURRENT_USER\Identities\\Software\Microsoft\Outlook Express\5.0\Mail
"Warn on Mapi "=0x0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"DisallowRun"="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
"1"="regedit.exe"
"2"="taskmgr.exe"
"3"="notepad.exe"
"4"="wordpad.exe"
"5"="write.exe"
"6"="wuauclt.exe"
"7"="msconfig.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoFolderOptions"=0x1
"NoWinKeys"=0x1
"NoViewContextMenu"=0x1
"NoClose"=0x1
"NoSetFolders"=0x1
"NoRun"=0x1
"NoFind"=0x1
