荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: gordonlot (非典型病毒), 信区: Virus
标  题: 蠕虫"赛文"(Worm.Swen)分析报告
发信站: 荔园晨风BBS站 (Fri Sep 19 22:59:51 2003), 站内信件


    病毒名称: Worm.Swen

  病毒长度: 106496

  中文名称: 赛文

  病毒别名: W32.Swen.A@mm[诺顿]、W32/Swen@mm[McAfee]、四维I-Worm/Swen[江民]

  病毒类型: 蠕虫

  威胁级别: 高

   金山毒霸反病毒应急中心于9月
19日截获该蠕虫,该蠕虫使用VC编写,主要采用邮件传播,并利用点对点工具及聊
天的文件共享功能进传播。蠕虫在发送带毒邮件时,使用随机的主题、内容和附名
称,特别是主题,多以退信、微软公司发布的补丁升级程序的形式发送。

  传播途径:

  1、发送带毒电子邮件,多以退信、微软公司发布的补丁升级程序
的形式发送。病毒邮件利用IE的IFRAME漏洞可以在用户不打开附件的情况下就可以
自动下载到本地,并且立即执行。

  2、通过KazaA点对点工具的文件共享功能
进行传播,蠕虫会拷贝复本到该软件指定的共享文件夹中

  3、通过IRC聊天工
具的文件共享功能进行传播,蠕虫会拷贝复本到该软件指定的共享文件夹中


4、通过网络共享进行传播,蠕虫会查找网络中的共享文件夹,尝试将复本拷贝到
这些系统中的以下文件夹内:

  对于Win9x:

  \Windows\Start Menu\Programs\Startup

  对于Win2000/WinXP

  \Documents and
Settings\<被感染系统的登录用户名>\Start Menu\Programs\Startup

  如果登录用户名为:administrator,则该文件夹为:

  \Documents and
Settings\Administrator\Start Menu\Programs\Startup

  对于WinNT

\Winnt\Profiles\<被感染系统的登录用户名>\Start Menu\Programs\Startup


 如果登录用户名为:administrator,则该文件夹为:

  \Documents and
Settings\Administrator\Start Menu\Programs\Startup

  5、蠕虫还会向它指定的自闻组发送带病毒的邮件

  技术特征:

  0、如果执行的病毒是以
字母q、u、p、i开头的文件名,病毒将弹出对话框“Microsoft Internet
Update Pack", 无论选择那个按钮,病毒都将安装自己。如图:



  1.复制病毒体到%SystemRoot%中,文件名随机。

  2.在%SystemRoot%中生成两个文
件Germs0.dbv和Swen1.dat,用来存放病毒搜索到的Email地址和Mail服务器列表


  3.在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中加载启
动项

  4.修改.exe/.reg/.scr/.com/.bat/.pif文件的关联

  5.将
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Sys
tem中的

   "DisableRegistryTools" = "0"修改为"DisableRegistryTools" =
 "1"用来禁用regedit。6.会试图结束以下进程,这些进程都为反病毒程序和网络
防火墙: Azonealarm
       zapro

   wfindv32

   webtrap

   vsstat

   vshwin32


  vsecomr

   vscan

   vettray

   vet98

   vet95


 vet32

   vcontrol

   vcleaner

   tds2

   tca


sweep

   sphinx

   serv95

   safeweb

   rescue


regedit

   rav

   pview

   pop3trap

   persfw


pcfwallicon

   pccwin98

   pccmain

   pcciomon

   pavw


   pavsched

   pavcl

   padmin

   outpost

   nvc95


   nupgrade

   nupdate

   normist

   nmain


nisum

   navw

   navsched

   navnt

   navlu32


navapw32

   nai_vs_stat

   msconfig

   mpftray


moolive

   luall

   lookout

   lockdown2000

   kpfw32


   jedi

   iomon98

   iface

   icsupp

   icssuppnt


   icmoon

   icmon

   icloadnt

   icload95


ibmavsp

   ibmasn

   iamserv

   iamapp

   gibe


f-stopw

   frw

   fp-win

   f-prot95

   fprot95


f-prot

   fprot

   findviru

   f-agnt95

   espwatch


  esafe

   efinet32

   ecengine

   dv95

   claw95


  cfinet

   cfind

   cfiaudit

   cfiadmin

   ccshtdwn


   ccapp

   bootwarn

   blackice

   blackd


avwupd32

   avwin95

   avsched32

   avp

   avnt


avkserv

   avgw

   avgctrl

   avgcc32

   ave32


avconsol

   autodown

   apvxdwin

   aplica32


anti-trojan

   ackwin32

   _avp

  7.病毒会周期性的出现一个提
示框,假装是MAPI32 Exception出错,如图:



  并要求用户输入“用户名”“口令”“POP3”“SMTP”等信息。

  8.当执行某一程序时可能会出现以
下系统提示,表示系统出错,实则为禁止某些系统程序的正常运行,如图:




   这其实是病毒发出的欺骗信息,并不是真正的系统程序出错

  9.病毒会有一个链节计数病毒运行的次数,如图:



  解决方案:

  该病毒
使用病毒名、注册表中启动项的键值都会使用随机的,所以手工清除会有一定的困
难,建议各位网络用户采用以下方法对病毒进行清除。

  方法一:请使用9月
19日病毒库版本的金山毒霸查杀该蠕虫病毒,然后使用“注册表修复工具”修复病
毒所改动的文件关联。

  “注册表修复工具”下载地址:http://www.duba.
net/download/3/8.shtml

  方法二:使用“金山毒霸斯温专杀工具”可以完
全处理该蠕虫病毒,包括回恢病毒把修改的注册表项。

  专杀工具下载地址:
http://www.duba.net/download/3/94.shtml .


--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.79.86]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店