● Hedong病毒危害高会删本地及映射驱动器上的文 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: ethanwy (朽木儿), 信区: Virus
标题: Hedong病毒危害高会删本地及映射驱动器上的文件
发信站: 荔园晨风BBS站 (Mon May 20 12:42:06 2002), 转信

　　病毒名称：W32.Hedong.A@mm
　　别名：WORM_DONGHE.A, W32/Hedong@MM
　　发现日期：2002-05-16
　　病毒类型：蠕虫
　　感染长度：49152或2301字节
　　危险级别：高
　　受影响系统：Windows, Windows 95, Windows 98, Windows NT, Windows 2000, W
indows XP, Windows Me
　　
　　病毒危害：
　　1.病毒发作：每次运行Hello.vbs 文件时；
　　2.该Hello.vbs 文件会删除受感染机器上后缀名为".exe", ".dll", ".dat", ".do
c", 或 ".mp3"的文件；
　　3.Win32文件会向随机生成的邮件地址发送带毒邮件；
　　
　　技术特征：
　　这是一个利用自己的SMTP引擎向外发送邮件的邮件蠕虫，它向外发送的病毒文件随
着系统时间的不同而不同，可能为Hello.exe 或Hello.vbs。病毒会在被感染机器上生成
%System%\Exporler.exe。
　　
　　该病毒运行后：
　　1.偿试连接以下服务器之一：
　　smtp.citiz.net
　　smtp.china.com
　　smtp.sina.com
　　smtp.263.net
　　smtp.sohu.com
　　smtp.163.net
　　smtp.163.com
　　
　　2.向外发送病毒邮件，但依据系统时间的不同而有所变化：
　　若系统时间能被3整除，所发送邮件的附件为Hello.exe；
　　若不能被3整除，则发送的附件为Hello.vbs。
　　
　　3.随机生成其他不同的邮件格式：
　　"From"地址可能含有随机产生的字符，后面带上@，之后根据所选择的smtp服务器而
不同。如，假如它选择的是"smtp.163.net", 那它的"From"地址为随机字符串加上"@16
3.net"。
　　"To"地址以同样方式产生。主题为随机选择的含有汉字的字符串。
　　
　　4.病毒还会利用"错误的MIME头"漏洞在未打补丁的计算机上自动执行。之后，将自
身拷贝至受感染机器上，变为\%System%\Exporler.exe。
　　
　　5.通过将注册表HKEY_LOCAL_MACHINE\Software\CLASSES\exefileshell\open\comm
and
　　键值改为%System%\Exporler.exe %1 %*，使得每次可执行文件运行时，病毒文件都
会自动运行；
　　若运行的是Hello.vbs，它会执行如下操作：
　　1）生成\%System%\MSKernel.vbs 及 %Windows%\Win32Dll.vbs
　　2）添加键值MSKernel32　　　 %System%\MSKernel32.vbs至HKEY_LOCAL_MACHINE\
Software\MicrosoftWindows\CurrentVersion\Run中；
　　3）添加键值Win32Dll　　　　%Windows%\Win32Dll.vbs至HKEY_LOCAL_MACHINE\So
ftware\MicrosoftWindows\CurrentVersion\RunServices中；
　　4）同时修改IE起始页为http:/ /www.hziee.edu.cn；
　　5）最后删除本地及映射驱动器上所有的.exe, .dll, .dat, .doc, 及 .mp3文件；

--

有人这么说，网上的人，都是孤独的。
我这么说，我是因为上网而孤独了。
他这么说，本来我是孤独的，上网之后更孤独。
她这么说了，我本来很孤独，但是看到其他网人我才感到自己原来不孤独。

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 218.16.45.228]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店