病毒是Visual C 编写,采用UPX压缩的蠕虫
它使用它自己的SMTP引擎来向windows 的地址薄中的联系人、MSN中联系人、等其他Email邮件地址发送带毒邮件;
试图通过共享网络和映射驱动器、KAZaA文件共享网络来传播;能够记录键盘操作、执行拒绝服务攻击。
能够终止许多计算机防护软件的运行。
病毒一旦运行,将复制自己到如下目录:
%SYSDIR%\exe32.exe
%SYSDIR%\\msmgr32.exe
%CommonStartup%\msmgr32.exe
%CurrentUserStartup%\msmgr32.exe
生成下列文件:
%WINDIR%\Hosts
%WINDIR%\Lmhosts
%SYSDIR%\etc\hosts
%SYSDIR%\etc\Lmhosts
这些文件包含的内容为:
127.0.0.1 www.symantec.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.sophos.com
127.0.0.1 www.avp.ch
127.0.0.1 www.McAfee.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www3.ca.com
127.0.0.1 www.ca.com
文件:Hosts 包含IP地址到主机名的映射
Lmhosts 包含IP地址到计算机名的映射,病毒修改这些文件的目的是让用户无法登录这些网站;
还会生成文件:
%SYSDIR%\mss32.dll,用来保存Eamil地址
添加如下键值以使自己随系统启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
"MsManager"="%System%\msmgr32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices
"MsManager"="%System%\msmgr32.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
"MsManager"="%System%\msmgr32.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices
"MsManager"="%System%\msmgr32.exe"
修改下列文件关联:
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES
\batfile\shell\open\command
"@"=""%SYSDIR%\exe32.exe""%1"%*"
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES
\comfile\shell\open\command
"@"=""%SYSDIR%\exe32.exe""%1"%*"
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES
\exefile\shell\open\command
"@"=""%SYSDIR%\exe32.exe""%1"%*"
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES
\piffile\shell\open\command
"@"=""%SYSDIR%\exe32.exe""%1"%*"
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES
\scrfile\shell\open\command
"@"=""%SYSDIR%\exe32.exe""%1"%*"
这样当用户执行这些扩展名的文件时首先执行病毒
病毒还禁止使用注册表工具:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System
"DisableRegistryTools"="1"
创建如下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RedWorm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Winver
HKEY_LOCAL_MACHINE\Winver
删除如下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
"syshelp"
"WinGate initialize"
"Module Call initialize"
"WinServices"
"WindowsMGM"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices
"WinServices"
HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices
"WindowsMGM"
删除如下文件:<如果存在的话>
%SYSDIR%\WinServices.exe
%SYSDIR%\nav32_loader.exe
%SYSDIR%\tcpsvs32.exe
%SYSDIR%\syshelp.exe
%SYSDIR%\WinGate.exe
%SYSDIR%\WinRpcsrv.exe
%SYSDIR%\winmgm32.exe
%WINDIR%\SNTMLS.DAT
枚举下列活动的窗口并终止它的运行:
Windows Task Manager
System Configuration Utility
Registry Editor
Process Viewer
枚举下列活动的进程并终止之:
_AVP32
_AVP32.EXE
_AVPCC
_AVPCC
_AVPCC.EXE
_AVPM
_AVPM.EXE
AckWin32
AckWin32
ACKWIN32
AckWin32.exe
AckWin32.exe
ACKWIN32.EXE
ADVXDWIN
....
....
....
在端口139、135、445对几个预定义的主机执行拒绝服务攻击;
搜索目录:%WINDIR%\INETPUB\WWWROOT目录下的搜索扩展名为.htm、.Html的文件,并替换其内容为:
Ha..Ha..Haaa...
病毒检索注册表的KaZaA共享文件夹,执行如下操作:
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
