病毒別名
I-Worm.Welyah【AVP】, W32.Shoho@mm【NAV】, W32/Shoho.c@MM, W32/Welyah.C@mm
病毒介紹
處理時間:2001-12-20
威脅級別:★★
中文名稱:笑哈哈
病毒類型:蠕蟲
影響系統:Win9x/ WinNT
病毒行為:
該蠕蟲病毒通過電子郵件傳播,它利用了微軟Iframe漏洞,一旦預覽或打開帶毒郵件,其附屬檔案病毒程式README.TXT<隨機數量的空格>.pif就會自動運行。附屬檔案程式乍一看來好似README.TXT檔案,其實它的真正擴展名是.pif(一種32位的PE檔案格式)。該蠕蟲是用Visual Basic 6編寫的。
1.病毒附屬檔案被執行後,它會將WINL0G0N.EXE(注意:0是零,並非字母O)檔案拷貝至%SystemRoot%及%System%目錄下。同時可能在本地系統進行添加或刪除檔案。
可能刪除的檔案(Win9x系統)如下:
email.txt
emailinfo.txt
c:\WINDOWS\drwatson
c:\WINDOWS\DRWATSON\FRAME.HTM
c:\WINDOWS\email.txt
c:\WINDOWS\SYSTEM\WINL0G0N.EXE
c:\WINDOWS\WINL0G0N.EXE
可能刪除的檔案(Win9x系統)如下:
c:\WINDOWS\1STBOOT.BMP
c:\WINDOWS\ASD.EXE
c:\WINDOWS\CLEANMGR.EXE
c:\WINDOWS\CLSPACK.EXE
c:\WINDOWS\CONTROL.EXE
c:\WINDOWS\CVTAPLOG.EXE
c:\WINDOWS\defrag.exe
c:\WINDOWS\DOSREP.EXE
c:\WINDOWS\Drwatson.exe
c:\WINDOWS\DRWATSON
c:\WINDOWS\DRWATSON\FRAME.HTM
c:\WINDOWS\EMM386.EXE
c:\WINDOWS\HIMEM.SYS
c:\WINDOWS\HWINFO.EXE
c:\WINDOWS\JAUTOEXP.DAT
c:\WINDOWS\Kacheln.bmp
c:\WINDOWS\Kreise.bmp
c:\WINDOWS\LICENSE.TXT
c:\WINDOWS\LOGOS.SYS
c:\WINDOWS\LOGOW.SYS
c:\WINDOWS\moricons.dll
c:\WINDOWS\NDDEAPI.DLL
c:\WINDOWS\NDDENB.DLL
c:\WINDOWS\NETDET.INI
c:\WINDOWS\ramdrive.sys
c:\WINDOWS\RUNHELP.CAB
c:\WINDOWS\SCRIPT.DOC
c:\WINDOWS\Setup.bmp
c:\WINDOWS\SMARTDRV.EXE
c:\WINDOWS\Streifen.bmp
c:\WINDOWS\SUBACK.BIN
c:\WINDOWS\SUPPORT.TXT
c:\WINDOWS\TELEPHON.INI
c:\WINDOWS\W98SETUP.BIN
c:\WINDOWS\Wellen.bmp
c:\WINDOWS\WIN.COM
c:\WINDOWS\WIN.INI
c:\WINDOWS\winsock.dll
其中添加的emailinfo.txt檔案當中包含有準備發往SMTP伺服器的郵件,而email.txt是一個MIME檔案,它包含編碼為WINL0G0N.EXE的Base64及iframe 漏洞。
2.此蠕蟲有它自己的SMTP引擎,能夠建立SMTP連線。它還會查找硬碟中所有包含郵件地址的檔案(如*.eml,*.wab等),一旦找到便會保存在emailinfo.txt檔案當中。然後向保存在該檔案中的所有地址傳送帶毒郵件:
主題為“Welcome to Yahoo! Mail”的郵件。
主題: Welcome to Yahoo! Mail
附屬檔案: Readme.txt<隨機數量的空格>.pif
3.病毒會在註冊表中以下子鍵中:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
添加如下鍵值以便使自己能夠在系統重啟後運行:
"WINL0G0N"="c:\windows\WINL0G0N.EXE"
4.當系統重新啟動時,WINL0G0N.EXE檔案自動執行,並可能導致常規性保護錯誤,而同時由於一些檔案被刪,系統可能無法正確啟動Windows,這種情況在Win9x上會出現,而在WinNT系統上還未遇到。但在任何系統上,例行的收發郵件可能會不正常。