VB写的病毒,通过Outlook发送邮件传播。
病毒伪装成微软的RPC DCOM漏洞的补丁,发送的邮件可能包含如下内容:
"Microsoft Corporation has issued a patch for the DCOM RPC vulnerability.
The patch can be downloaded below named patch883653.exe. This patch will
patch your computer from the rpc eXPloit recently used by W32.Blaster.Worm.
Thank you for your time and coorporation. "
病毒可能复制的目录和文件名为:
C:\Windows\System\Sysrestore\Restoreshell.exe
C:\Windows\system32\Sysrestore\Shell.exe
C:\Windows\system32\Sysrestore\MSIinstall.exe
C:\Windows\system32\Sysrestore\WINcom.exe
C:\Windows\system32\Sysrestore\KERNEL32.exe
C:\Windows\system32\Sysrestore\Notepad.exe
C:\Windows\system32\Sysrestore\Kern16.exe
C:\Windows\system32\Sysrestore\Win-16_BIT.exe
C:\Windows\System\Sysrestore\MSIshell.exe
C:\Windows\System\Sysrestore\WIN_16-Bit.exe
C:\Windows\System\Sysrestore\Kernel32.exe
C:\Windows\System\Sysrestore\KERNEL32.dll
C:\Windows\System\Sysrestore\Notepad.exe
C:\Windows\System\Sysrestore\MSIinstall.exe
C:\Windows\System\Sysrestore\Windows.exe
C:\Windows\System\Sysrestore\reInstall.exe
C:\Windows\System\Sysrestore\MicroPackage.exe
C:\Windows\System\Sysrestore\Dage.exe
C:\Windows\System\Sysrestore\Gadeth.exe
C:\Windows\System\Sysrestore\Ndad.exe
C:\Windows\System\Sysrestore\Patch.exe
C:\Windows\System\Sysrestore\Patchda82653.exe
C:\Windows\System\Sysrestore\Patch8ba82653.exe
C:\Windows\System\Sysrestore\Patch882he653.exe
C:\Windows\System\Sysrestore\Patch882ad653.exe
C:\Windows\System\Sysrestore\Patch88a2653.exe
C:\Windows\System\Sysrestore\Patch88gadh2653.exe
C:\Windows\System\Sysrestore\Patch8826ad53.exe
C:\Windows\System\Sysrestore\Patch882hae653.exe
C:\Windows\System\Sysrestore\Patch8822d653.exe
C:\Windows\System\Sysrestore\Patch8a82653.exe
C:\Windows\System\Sysrestore\Patch8agd82653.exe
C:\Windows\System\Sysrestore\Patch8da82653.exe
C:\Windows\System\Sysrestore\Patch88ba2653.exe
C:\Windows\System\Sysrestore\Patch88asdf2653.exe
C:\Windows\System\Sysrestore\Patch88abad2653.exe
C:\Windows\System\Sysrestore\Patch882da653.exe
C:\Windows\System\Sysrestore\Patch88ads2653.exe
C:\Windows\System\Sysrestore\Patch8826da53.exe
C:\Windows\System\Sysrestore\Patch88265ba3.exe
C:\Windows\System\Sysrestore\Patch8826a53das.exe
C:\Windows\System\Sysrestore\Patch8826fasd53ds.exe
C:\Windows\System\Sysrestore\Patch882abd653.exe
C:\Windows\System\Sysrestore\Patch8826nda53.exe
C:\Windows\System\Sysrestore\Patch88wa2653.exe
C:\Windows\System\Sysrestore\Patch88265bad3.exe
C:\Windows\System\Sysrestore\Patch88265bna3.exe
C:\Windows\System\Sysrestore\Patch88265ad3.exe
C:\Windows\System\Sysrestore\Patch88265adsf3.exe
C:\Windows\System\Sysrestore\Patch88sd2653.exe
C:\Windows\System\Sysrestore\Patch882ban653.exe
C:\Windows\System\Sysrestore\Patch8826adwe53.exe
C:\Windows\System\Sysrestore\MTK.exe
C:\Windows\System\Sysrestore\Splinter.exe
C:\Windows\System\Sysrestore\{927982-2356-0042-25}HKEY.exe
C:\Windows\System\Sysrestore\Bin.exe等
它还将在c:\下生成如下名字的空目录:
C:\blak
C:\prune
C:\ad
C:\ablak
C:\bhblak
C:\blaadk
C:\blaadadk
C:\blaeak
C:\bla dsak
C:\blabadwtk
C:\blwety32ak
C:\bl346ak
C:\blnaak
C:\bl32hadak
C:\bl2ak
C:\blay23k
C:\blhah3ak
C:\bln33425ak
C:\bwetlak
C:\blasdak
C:\basdlak
C:\blhaak
C:\blahadewk
C:\blahsak
C:\bnclaks
C:\blacvnk
C:\blnaedak
C:\blwerak
C:\blaweeaak
病毒将修改AUTOEXEC.BAT文件,加入一行:
Start %SystemRoot%\Sysrestore\Notepad.exe
文件:Notepad.exe就是病毒本身
病毒还将释放一个文件:
MSDOS_3.Bat,用来对下列网站进行攻击:
www.norton.com
http://securityresponse.symantec.com
win.ini
[windows]
run=%SystemRoot%\Sysrestore\Notepad.exe
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
