荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: xhjx (.。o οоO ○ ), 信区: Virus
标 题: W32/Gibe@MM
发信站: 荔园晨风BBS站 (Tue Mar 5 17:53:35 2002), 站内信件
病毒名称:W32/Gibe@MM
发现日期:2002-03-05
最早出现地区:未知
病毒长度:122880字节
病毒类型:邮件病毒
病毒特征:该病毒伪装成微软的安全补丁Q216309.EXE,旨在诱使用户执行。
它会同时利用微软的Outlook以及受害用户的默认SMTP服务器来向外发送带毒邮件
。然而,在测试时该病毒还存在许多Bug,并不能成功地利用Outlook来传播。
一旦执行,病毒会从注册表中获取默认的Internet帐号的详细信息,并创建如
下注册表键,同时写入如下数据:
HKEY_LOCAL_MACHINE\Software\AVTech
HKEY_LOCAL_MACHINE\Software\AVTech\Settings "Default Address"
(default SMTP email address)
HKEY_LOCAL_MACHINE\Software\AVTech\Settings "Default Server"
(default SMTP server)
HKEY_LOCAL_MACHINE\Software\AVTech\Settings "Installed"
= ...by Begbie
病毒的WINNETW.EXE 组件会寻找两个互联网邮件地址目录,从返回的数据中分
析邮件地址,然后将它们写入文件02_N803.DAT 当中。如下的两个注册表键就是用
来运行该组件的:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run_
"3dfx Acc" = %windir\GFXACC.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run_
"LoadDBackup" = %windir\BCTOOL.EXE
机器重启后,BCTOOL.EXE 就会运行,然后利用默认的SMTP服务器向02_N803.
DAT文件中的所有邮件地址发送病毒。
此病毒的最后一个组件GFXACC.EXE,是一个后门程序,会在受感染的机器上开
放端口。
中毒迹象:
中毒后,会在机器上出现如下文件:
%windir%\BCTOOL.EXE (32,768 bytes)
%windir%\WINNETW.EXE (20,480 bytes)
%windir%\Q216309.EXE (122,880 bytes)
%windir%\VTNMSCCD.DLL (122,880 bytes)
%windir%\GFXACC.EXE (20,480 bytes)
%windir%\02_N803.DAT (variable)
同时,12378端口被打开;
另外,新增如下注册表键:
HKEY_LOCAL_MACHINE\Software\AVTech
传染方式:
该病毒伪装成微软的安全补丁Q216309.EXE,执行后即会感染机器。它会生成
如下文件:
%windir%\BCTOOL.EXE
%windir%\WINNETW.EXE
%windir%\VTNMSCCD.DLL
%windir%\GFXACC.EXE
--
♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀
♀♂♀♂寻寻觅觅♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂
♂♀♂♀♂♀♂♀♂♀♂♀蓦然回首♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀
♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂那人却在♀♂♀♂♀♂♀♂♀♂♀♂
♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂灯火阑珊处♂♀♂♀
♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店