概要
病毒別名:愛情後門變種V【瑞星】處理時間:2004-03-12
威脅級別:★★★
中文名稱:惡郵差變種U
病毒類型:蠕蟲
影響系統:Win9x/Win2000/Winnt/WinXP
病毒行為:
“惡郵差”系例
編寫工具:
vc多重壓縮
傳染條件:
利用郵件和區域網路高速傳播
發作條件:
系統修改:
A、自我複製到
%SYSDIR%IEXPLORE.EXE
%SYSDIR%kernel66.dll
%SYSDIR%RAVMOND.exe
%SYSDIR%SysBoot.EXE
%SYSDIR%WinDriver.exe
%SYSDIR%winexe.exe
%SYSDIR%wingate.exe
%SYSDIR%winhelp.exe
%DRIVER%SysBoot.exe
B、病毒將釋放一個DLL檔案,此檔案將在系統中殖入遠程後門代碼
%SYSDIR%
eg678.dll
%SYSDIR%Task688.dll
病毒將釋放一個利用QQ傳送訊息傳播的病毒:“Worm.LovGate.v.QQ”,相關檔案名稱目錄為:
%SYSDIR%internet.exe
%SYSDIR%svch0st.exe
C、添加以下鍵值
HKEY_CLASSES_ROOTexefileshellopencommand
(默認) : %SYSDIR%WINEXE.EXE "%1" %*
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
"WinGate initialize" = "%SYSDIR%WINGATE.EXE -REMOTESHELL"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
"WinHelp" = "%SYSDIR%WINHELP.EXE"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
"Remote Procedure Call Locator" = "RUNDLL32.EXE REG678.DLL ONDLL_REG"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
"Program In Windows" = "%SYSDIR%IEXPLORE.EXE"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRunServices
"SystemTra" = "%WINDIR%SYSTRA.EXE /SYSTRA:KERNEL32.DLL"
在win9x下還修改系統檔案:
WIN.INI
【WINDOWS】
"RUN" = "RAVMOND.EXE"
在win2k、NT、XP下註冊服務:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesll_reg
Display Name = "ll_reg "
IMAGEPATH = "RUNDLL32.EXE TASK688.DLL ONDLL_SERVER"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows Management Instrumentation Driver Extension
Display Name = "Windows Management Instrumentation Driver Extension"
IMAGEPATH = "%SYSTEM%WINDRIVER.EXE -START_SERVER"
病毒也將在每一個硬碟和可移動盤的根目錄下建立一個檔案:AUTORUN.INF的檔案,內容為:
【AUTORUN】
Open="%DRIVER%:SysBoot.EXE" /StartExplorer
其中%DRIVER%為相應的驅動器。
這樣在用戶打開該驅動器後將運行病毒
D、病毒變相感染執行檔
病毒可能會將EXE檔案改名為ZMX檔案,並設定屬性為“隱藏”和“系統”,如:病毒搜尋到一個名為“winword.exe”的檔案,會將其改名“Winword.zmx”並設定屬性“隱藏”和“系統”,然後釋放一個名為“Winword.exe”的病毒複本。
這個功能的條件是:病毒運行後,每隔一小時會檢查系統中是否有“網路映射驅動器”和“可移動驅器”,如果有,側會進行上述變向的檔案感染。
E、Windows弱口令密碼試探攻擊、放出後門程式、盜取密碼
F、病毒利用mapi及搜出的email地址,對收信箱裡的郵件進行回復(傳播)。
郵件標題隨機從病毒體內選出
當病毒被運行後每隔一定時間傳送一次通知郵件給
位於163.com的一個信箱,郵件內容為中毒系統的ip地址,以便利用病毒的後門進行控制
發作現象:
已分享資料夾會塞滿此蠕蟲的檔案,一般容易辨認。