|
|
| |
|
|
江民今日(2004.1.30)病毒预报,特别提醒您注意
|
|
www.jiangmin.com.cn
2004-1-30 17:05:24 作者: 信息出自:江民科技
|
|
| |
|
江民今日提醒您注意:在今天截获的病毒中I-Worm/Mimail.s (邮米)和I-Worm/Dumaru.z(杜马)值得关注。
I-Worm/Mimail.s (邮米)
是原I-Worm/Mimail的变种病毒,该蠕虫程序大小是:11520字节。该蠕虫通过修改系统注册表的启动项来达到自动运行自身的目的,江民杀毒软件首创的注册表监视功能使得即使不升级查杀病毒数据库也能监视到该蠕虫对系统注册表的修改。病毒传播的方式是群发电子邮件,还会显示虚假信息,诱骗用户的信用卡资料。详细分析如下:
当病毒运行后,将自身复制成%WinDir%\rabbit.exe,%WinDir%\x,然后启动rabbit.exe
在注册表启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run中添加新项"RabbitWannaHome"="%Windir%\rabbit.exe",这样在下次Windows系统启动时病毒就可以自动运行了。
开启3个线程,分别完成下面的事情:
从硬盘的C:\ 、C:\Program Files\ 、Application Data Folder 、Desktop 、Common Programs Folder 、Startup Folder 、Templates 、Documents 、Favorites目录遍历文件,从中搜索合法的email地址,并把找到的地址记录在%WinDir%\outlook.cfg文件中。为了加快搜索效率,病毒会直接跳过扩展名为 .com 、.wav 、.cab 、.pdf 、.rar 、.zip 、.tif 、.psd 、.ocx 、.vxd 、.mp3 、.mpg 、
.avi 、.dll 、.exe 、.gif 、.jpg 、.bmp的文件。
向保存在outlook.cfg中的email地址发送带毒电子邮件,病毒产生的邮件内容有多达数十处关键词语可随机变换,总共有上万亿种变化的可能。大体意思是说“我偷怕了某某人的一些激情图片和影片,不要把它给你的某某家里人看哦……”,下面是一个样本:
Hello Johanna
I shocked
My dad had wild sex last evening with the boss of Joseph!
And I switched on my digital toshiba camera and create some cool pictures %-)))
And don't show it to your bro, okay?
附件即使病毒本身,大小11520字节,名称中带有pic、img、phot、photos、pctrs、images、imgs、scene、plp、act、action等字样,扩展名可能为.pif、.scr、 .exe、 .jpg.scr、 .jpg.pif、 .gif.exe、 .gif.gif、 .gif.scr
每隔2秒通过访问http://www.google.com来判断用户当前是否联网,如果没有联网,病毒将会暂时休眠,不向网上发信传播。
每隔30秒,生成脚本文件c:\ms.hta,并运行它。这个脚本显示Windows过期等虚假信息(见图1),企图诱使用户添写信用卡帐号和密码。病毒把骗得的用户资料保存在c:\xx,定时发送到3个电子邮件地址(juashjd@ziplip.com;lozinsky@mail15.com;imap.mail15.com)。
I-Worm/Dumaru.z(杜马)病毒
蠕虫病毒,通过发送邮件传播。病毒感染后会修改注册表启动项,并在系统复制多个病毒文件,病毒还会窃取密码和记录键盘数据。
感染过程:
(1)如果病毒被执行,会生成以下文件,其存路径为:
System Tray = %Windir%\system32\L32x.exe
System Tray = %Windir%\system32\Vxd32v.exe
System Tray = %Windir%\Temp\Zip.tmp
System Tray = %Startup%\dllxw.exe
%windir% 是Windows 系统的安装目录,在不同系统下该目标表现可能不同,可能的有:c:\windows;c:\winnt 等,%Startup%为windows启动文件夹,win98为C:\Windows\Start Menu\Programs\Startup。
(2)修改注册表,并在启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加:
"load32"="%System%\l32x.exe"
并修改
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon为:
"explorer.exe %Windir%\system32\vxd32v.exe"
(3)创建下列文件:
1.%Windir%\Winload.log: 存储病毒发现的邮件地址,病毒会给所有的邮件地址发送病毒邮件。
2.%Windir%\Vxdload.log: 存储密码或者用户点击键盘信息。
3.%Windir%\Rundllx.sys: 存储剪贴板的数据。
(4)如果是win98/me/95系统,病毒修改System.ini如下:
[boot]
shell=explorer.exe %Windir%\%System%\vxd32v.exe
(5)搜索C盘下的所有以为.htm/.html/.wab/.dbx/.tbb/.abd后缀的的文件,将搜索到的所以邮箱地址存到Winload.log中。
(6)向Winload.log文件中的邮件地址发信:
Subject: Important information for you. Read it immediately !
Message:
Hi !
Here is my photo, that you asked for yesterday.
Attachment: myphoto.zip
请及时升级江民杀毒软件KV2004,并开启各项监视程序,防止病毒或木马程序进入系统。江民杀毒软件KV2004可以直接在Windows系统下彻底清除以上病毒。
有关更详尽的病毒技术资料请直接拔打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站http://www.jiangmin.com进行在线查阅。
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
