荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: Mic (酷鱼), 信区: Virus
标  题: “求职信”病毒wantjob蠕虫
发信站: 荔园晨风BBS站 (Fri Nov  2 22:31:56 2001), 转信

  尼姆达余威未尽,新秀即刻杀到!10月26日下午,金山公司反病毒应急处理中
心又率先截获一例高度危害的恶性蠕虫病毒wantjob(“求职信”病毒)。此病毒
已在国外迅速蔓延,很快将传至国内,危害之大与尼姆达相比有过之而无不及。据
金山反病毒应急处理中心的技术人员分析,该病毒利用的同是Iframe
ExecCommand漏洞,但与尼姆达相比,除了有其共有的危害性外,它还能够完全覆
盖文件。以下是对该病毒的技术分析:

  病毒名称:Worm.wantjob.57345

  危害性:高

  病毒运行的过程:

  1、 首先将自己要用到的字符串解码。

  2、 启动一个线程不停的查询内存中的进程、检查是否有一些杀毒软件存在(
如AVP/NAV/NOD/Macfee等)。如果存在则将该杀毒软件的进程终止。每隔0.1秒就
循环检查进程一次,以至于这些杀毒软件无法运行。

  3、 接着病毒启动另一个线程,用来创建一个名为WQK.EXE的文件运行、拷贝
到<%WINDOWS%>的<%SYSTEM%>目录。然后将自身复制到<%WINDOWS%>的<%SYSTEM%>目
录。

  4、 然后修改注册表,使自己的每次系统启动都自动运行。

  5、 将自己注册为系统的服务进程。

  6、 启动一个线程用于发送邮件,病毒再次利用Nimda病毒利用的Iframe
ExecCommand漏洞,使没有打IE补丁的用户收到邮件后会自动运行。病毒会随机选
取以下语句作为邮件主题:

  Hi

  Hello

  How are you?

  Can you help me?

  We want peace

  Where will you go?

  Congratulations!!!

  Don’t Cry

  Look at the pretty

  Some advice on your shortcoming

  Free XXX Pictures

  A free hot porn site

  Why don’t you reply to me?

  How about have dinner with me together?

  Never kiss a stranger

  邮件体为空,但编码中有一段注释:

  I’m sorry to do so,but it’s helpless to say sorry.

  I want a good job,I must support my parents.

  Now you have seen my technical capabilities.

  How much my year-salary now? NO more than $5,500.

  What do you think of this fact?

  Don’t call my names,I have no hostility.

  Can you help me?

  基于该病毒的这个信息,金山毒霸命名为wantjob病毒,全称为:Worm.
wantjob.57345。

  7、 启动感染网上邻居的线程。该线程发现可写的共享目录时,会随机生成一
个文件名,并将病毒自身进行加密,用该文件名将病毒复制过去。然后Sleep8小时
再感染一次。文件的长度会有60168、60169等的变化。文件名的生成规则:

  第一部分随机生成的名字为字母或数字,最后补一个“。”,

  第二部分在Htm、Doc、Jpg、Bmp、Xls、Cpp、Html、Mpg、Mpeg中选择一个。


  第三部分补上exe作为扩展名。

  8、 启动26个线程,遍历硬盘、网络盘一遍找满足扩展名需求的文件,这个文
件名将用于邮件发送

  9、 进入一个循环,检查本地的时间,如果时间为单月13日,则马上启动26个
破坏线程,该线程查找硬盘上的所有文件,并用内存中的数据覆盖硬盘上的文件。



--
   _  __  [ ID ]: Mic                      江湖险恶,但是你又不得不在江湖走动;
  | l/ /  [职称]:帮主                     孤身一人,总会遭到欺负,于是偶创立本
  |   /   [理想]:guanshui                 帮,吸纳各路英雄好汉,凡帮内兄弟,应
  l__/    [奖金]:only kiss ok?ok!         互相照应,凡报告,旁听等快事,应通知
  Virus   [住址]:Virus Board              本帮其他兄弟,以本签名档为本帮标志.
================>>>>>>>>>>>>>>>>偶在Virus帮<<<<<<<<<<<<<<<<=================

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.28.163]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店