荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: wolfron (小鱼儿), 信区: Virus
标 题: worm.concept.57344
发信站: 荔园晨风BBS站 (Sun Oct 28 11:05:02 2001), 转信
病毒名称:Worm.Concept.57344概念蠕虫病毒简介
病毒种类:蠕虫病毒
危害程度:
病毒简介:
这个病毒会通过email传播,当用户邮件的正文为空,似乎没有附件,实际上
邮件中嵌入了病毒的执行代码,当用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微
软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经不知不觉中执行了。病
毒执行时会将自己复制到临时目录,再运行在临时目录中的副本。病毒还会在
windows的system目录中生成load.exe文件,同时修改system.ini中的shell从
shell=explorer.exe改为explorer.exe load.exe -dontrunold,使病毒在下次系
统启动时仍然被激活。另外,在system目录下,病毒还会生成一个副本:
riched20.dll。而riched20.dll目录在windows系统中就存在,而它就把它覆盖掉
了。
而病毒复制到临时目录下的副本(有两个文件,文件名为???????.
tmp.exe),病毒会在系统下次启动时将他们删除(修改wininit.ini文件)。
为了通过邮件将自己传播出去,病毒使用了MAPI函数读取用户的email并从中读取
SMTP地址和email地址。病毒还在windows的临时目录下生成一个eml格式的临时文
件,大小为79225字节,该文件已经用BASE64编码将病毒包含进去。然后,病毒就
用取得的地址将带毒邮件发送出去。
病毒的第二种传播途径就是用跟CodeBlue极其相似的方法,使用了IIS的
UNICODE漏洞。
病毒的第三种传播途径是通过局域网的共享,传播到其它windows系统下。
另外,病毒运行时会利用ShellExcute执行系统中的一些命令如:NET.EXE、USER.
EXE、SHARE.EXE等命令,将Guest用户添加到Guests、Administrators组(针对
NT/2000/XP),并激活Guest用户。还将C盘根目录共享出来。
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.32]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店