● W32.Alcarys.B@mm - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: xhjx (想你！！), 信区: Virus
标  题: W32.Alcarys.B@mm
发信站: 荔园晨风BBS站 (Mon Feb 25 21:17:20 2002), 站内信件

　　病毒名称：W32.Alcarys.B@mm
　　发现日期：2002-02-23
　　病毒类型：邮件蠕虫病毒
　　长度：16384字节
　　危害级别：中
　　
　　病毒描述：
　　W32.Alcarys.B@mm是一例邮件蠕虫病毒，它会向中毒机器地址簿中的所有收件
人发送带毒邮件。它同时会停止计算机的运行以致计算机只有在以MS-DOS模式启动
时才能使用，而且此病毒还会覆盖许多系统文件。
　　
　　病毒危害：
　　1.发送大量邮件：会向受感染机器地址簿中的所有收件人发送大量带毒邮件；

　　2.删除文件：覆盖regedit.exe，regsvr32.exe及scanregw.exe文件的同时还
会覆盖所有后缀为.scr及.com的文件；
　　3.修改文件；会修改script.ini文件，以致能借助mIRC发送病毒；
　　4.使系统性能降低，导致系统不稳定：覆盖REGEDIT.EXE文件后，病毒会输入
一个无限循环，使得机器很快耗尽系统资源，最后崩溃；
　　
　　病毒邮件信息：
　　主题：i‘ve got cool stuffs here... or nice stuffs i got here...
or check this out... or i want you to know how much i care for you... or
hello! i‘m your long, lost friend... or talk to me... tell me your
name... or kindness is a virtue...
　　附件：有四个附件，附件的名称变化不定
　　附件大小：16384字节
　　
　　病毒技术特征：
　　
　　此病毒会在如下目录下生成如下文件：
　　C:\WINDOWS\SYSTEM\REGSVR32.EXE"
　　"C:\WINDOWS\Desktop\win.exe"
　　"C:\WINDOWS\Desktop\Top Secret\clickme.exe"
　　"C:\WINDOWS\SendTo\Oceans11\watchme.exe"
　　"C:\WINDOWS\Favorites\A Beautiful Mind\watchme.exe"
　　"C:\WINDOWS\regedit.exe"
　　"C:\WINDOWS\scanregw.exe"
　　"C:\WINDOWS\tuneup.exe"
　　"C:\WINDOWS\rundll64.exe"
　　"C:\WINDOWS\windows.exe"
　　"C:\disney.scr"
　　"C:\file1980.com"
　　"C:\hacktool.co_"
　　"C:\movie.exe"
　　"C:\msmsgs.exe"
　　"C:\porno.scr"
　　"C:\screenxx.scr"
　　"C:\windows.exe"
　　"C:\windows.scr"
　　"C:\winstart.com"
　　"C:\Program Files\CurlySoft\viewer.dll"
　　"C:\Program Files\CurlySoft\pornview.exe"
　　"C:\Program Files\XXX Files\clickme.exe"
　　"C:\Recycled\alco.com"
　　同时，它还会覆盖所有.SCR文件、创建C:\WINDOWS\FILES目录，并在此目录下
生成文件名为file###.###.exe的文件，其中＃代表任意数字。
　　
　　而且，还会以一个能简单运行此病毒的HTML文件来覆盖所有的HTM及HTML文件
。同时生成Html文件C:\blank.html。
　　此病毒还会试图从病毒作者的主页上下载并执行一个文件。另外，它还会以创
建的两个文件C:\XXXMOVIE.XLS、 C:\WINDOWS\NEWDOCUMENT.DOC分别覆盖受感染机
器上所有Excel及Word文档。这些文件同时会被发送给地址簿中所有的收件人。当
发送Excel文件时，其邮件信息有如下特点：
　　主题：Nice Embedded Object
　　正文：Check out the embedded object in the excel sheet...
　　附件：附件名变化不定。被病毒所覆盖的每一个文件都将会依附在带毒邮件上
。
　　当发送的是Word文件时，有如下特点：
　　主题：Nice Embedded Object
　　正文：Check out the embedded object in the word document...
　　附件同上。
　　
　　其中宏组件第一次被拷贝至C:\xls.wps，C:\doc.wps及C:\nor.wps文件中，病
毒同时创建几个被感染的文件：C:\porno.doc、C:\xxxmovie.xls、C:
\windows\newdocument.doc。还会创建如下文件：
　　C:\v.vbs：一个简单的脚本文件，当一个文件被下载后，它会发送一关键序列
至那个应用程序文件中；
　　C:\v.reg：会修改注册表的注册表文件；
　　C:\acs.acs：一简单的文本文件，其文本内容为“another one bites the
dust”
　　C:\Windows\tmpdelis.bat：一简单的批处理文件，它会将C:\program
files\curlysoft\viewer.dll文件拷贝成c:\program files\curlysoft\run.com文
件，同时将C:\v.reg的数据输入到注册表中，之后执行C:\file1980.com文件。
　　
　　该病毒还会在桌面创建如下快捷键：
　　New Document.lnk：打开C:\WINDOWS\newdocument.doc的快捷方式；
　　Tips On How To Make Your Partner Wilder.lnk：打开C:\xxxmovie.xls的快
捷方式；
　　Porn Viewer version 1.01.lnk：打开C:\Program
Files\Curlysoft\pornview.exe的快捷方式；
　　ExecuteMe.lnk：打开C:\WINDOWS\rundll64.exe的快捷方式；
　　mailme.lnk：向病毒作者发送邮件的快捷方式。
　　
　　病毒还会修改如下注册表：
　　将值:
　　"Rundll64" = "c:\windows\rundll64.exe"
　　添加到注册表键:
　　
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
s"
　　
　　将值:
　　"Windows Update" = "C:\WINDOWS\Start Menu\Programs\Windows
Update\file###.###.exe"
　　"Regedit" = "C:\windows\regedit.exe"
　　添加到注册表键:
　　"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

　　
　　将注册表键:
　　"HKEY_CLASSES_ROOT\mp3file\shell\open\command"
　　的默认值设为"c:\windows\scanregw.exe"
　　
　　将注册表键:
　　"HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command"
　　的默认值设为c:\windows\system\regsvr32.exe
　　
　　将注册表键:
　　"HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command"
　　的默认值设为"c:\windows\tuneup.exe"
　　
　　将注册表键:
　　"HKEY_CLASSES_ROOT\mp3file\shell\play\command"
　　的默认值设为"c:\windows\system\regsvr32.exe"
　　
　　将注册表键:
　　"HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command"
　　的默认值设为"c:\windows\scanregw.exe"
　　
　　将注册表键"HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command"
　　的默认值设为"c:\windows\tuneup.exe"
　　
　　将注册表键"HKEY_CLASSES_ROOT\txtfile\shell\open\command"
　　的默认值设为"c:\recycled\alco.com"
　　
　　将值:
　　"*Windows" = "c:\windows\windows.exe"
　　及
　　"MSMSGS" = "c:\msmsgs.exe"
　　添加至注册表键:
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
　　
　　病毒手工清除：
　　
　　删除所有的病毒生成文件；
　　删除注册表键:
　　
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
s"
　　的值"Rundll64" = "c:\windows\rundll64.exe"
　　
　　删除注册表键:
　　"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

　　的值"Windows Update" = "C:\WINDOWS\Start Menu\Programs\Windows
Update\file###.###.exe"
　　"Regedit" = "C:\windows\regedit.exe"
　　
　　恢复以下注册表键的默认值：
　　"HKEY_CLASSES_ROOT\mp3file\shell\open\command"
　　"HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command"
　　"HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command"
　　"HKEY_CLASSES_ROOT\mp3file\shell\play\command"
　　"HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command"
　　"HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command"
　　"HKEY_CLASSES_ROOT\txtfile\shell\open\command"
　　
　　删除注册表键
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
　　的值"*Windows" = "c:\windows\windows.exe"
　　及"MSMSGS" = "c:\msmsgs.exe"

--
      ∵                       ∵
      ●  ◆ ★  ▼   ★   ●  ◆
      ╂  ╢ ┃  ┢   ┨   ║  ╋
      █  █ █  █ ███ █●█
        █   █●█   █    /█\
      █  █ █  █ ██   █  █

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店