● “Sharpei”，又一攻击.Net系统的病毒出现 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: gordonlot (万劫不复), 信区: Virus
标  题: “Sharpei”，又一攻击.Net系统的病毒出现
发信站: 荔园晨风BBS站 (Mon Mar  4 19:04:22 2002), 转信

  3月1日，几家反病毒公司同时收到了一种名为“Sharpei”的新型病毒样本，这种
病毒基于微软最新型的计算机语言C#编写，它设计用于感染那些装有.Net系统的计
算机。

　　反病毒公司Network Associates认为该病毒的危险程度仅为“低级”，但表
示这已是第二种试图对.Net系统产生危害的新型病毒。Network Associates公司反
病毒紧急事故应因小组的负责人文森特-古罗特表示：“即便不使用C#语言，这种
病毒也能工作，它试图对.Net进行攻击。”

　　今年1月份，名为“Donut”的病毒就曾经试图对.Net的部分架构进行攻击，但
微软后来否认这是一种.Net
病毒。至于“Sharpei”的出现，微软还没有对此发表评论。、

　　反病毒专家称，“Sharpei”尚未对计算机用户造成负面影响，但一旦它得到
传播就会影响到大多数计算机
，因为它是一种以电子邮件形式传播的病毒，其主题为“重要信息：视窗升级”，
其附带的文本内容为：“这一升级版本可以使视窗系统运行速度增快50%，而且更
加安全。我想您一定会喜欢。”

　　等到用户打开附带信息后，这种病毒就会利用Outlook地址簿发送带有病毒的
信息，随后它还可以将已发送的电子邮件从邮件夹中删除并删掉自身的复本。对于
装有视窗XP操作系统以及其他.Net软件的计算机而言，“Sharpei”病毒还会感染
另外4种文档中的文件，如果这些文件正好处于打开状态，那么这种病毒就会启动
。

　　据悉，这种病毒是一名17岁的荷兰女孩子用C#语言编写的。
）

    附：Win32/Sharpei.A病毒简介
    Win32/Sharpei.A病毒是通过微软Outlook发送电子邮件。在其发送的电子邮件
的附件里包含一个C#语言编
写的程序，这个程序在安装有.NET机器上能够运行并感染计算机。

　　邮件主题:Important: Windows update
　　内容:
　　Hey, at work we are applying this update because it makes Windows
over 50% faster and more secure. I thought I should forward it as you
may like it.
　　附件:MS02-010.exe

    病毒首先将自身拷贝一份到C盘下命名为MS02-010.exe，这个文件充当向外发
送电子邮件时的附件。其次，创建sharp.vbs文件并立即执行。
　　
　　sharp.vbs是一个VBS脚本文件，它会将病毒发送到Outlook地址簿里的所有地
址，最后将自己删除。

    病毒在系统目录下查找"mscoree.dll"来确定是否安装了.NET。"
　　
　　如果病毒查找到了"mscoree.dll",它会在系统目录下创建"cs.exe"文件。

    病毒会创建下面的注册表键值：
　　
　　HKEY_LOCAL_MACHINE\Software\Sharp
　　这个注册表键值的缺省值是设置路径和当前执行的文件名。
　　
　　然后执行"cs.exe"，目标是任何后缀是".exe"的文件，包括其运行环境.NET文
件与Windows的标准程序。
它将自身加载到每个被感染的文件。为了找到一个自身的拷贝，病毒读取注册表的
相关信息。
　　
　　
　　病毒还创建另一个"Sharp.vbs"文件在启动组中，这样"Sharp.vbs"会在启动时
被执行，并显示一个消息框。

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.221]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店