荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: xhjx (★好好学习★), 信区: Virus
标 题: 新病毒W32/Shoho@MM档案
发信站: 荔园晨风BBS站 (Fri Dec 21 16:23:22 2001), 站内信件
病毒名称:W32/Shoho@MM
发现日期:2001-12-20
最早出现地区:亚洲
长度:110.592K
病毒类型:蠕虫病毒
别名:W32.Shoho@MM , W32/Welyah.A@mm
病毒简介:该蠕虫病毒利用的是ms01-020 Iframe 漏洞,一旦预览或打开邮件
,其附件程序README.TXT________.pif就会自动运行。附件程序乍一看来好似
README.TXT文件,其实它的真正扩展名是.pif(一种32位的PE文件格式)。该蠕虫
是用Visual Basic 6编写的,文件大小为110.592K,其二进制并未打包进文件压缩
软件当中。
附件被执行后,它会将WINL0G0N.EXE(注意: 0是零,并非字母O)文件拷贝至
Windows及 "\system"目录下,同时可能在本地系统进行添加或删除文件。
可能添加的文件(Win9x系统)如下:
-email.txt
-emailinfo.txt
-c:\WINDOWS\DRWATSON
-c:\WINDOWS\DRWATSON\FRAME.HTM
-c:\WINDOWS\email.txt
-c:\WINDOWS\SYSTEM\WINL0G0N.EXE
-c:\WINDOWS\WINL0G0N.EXE
可能删除的文件(Win9x系统)如下:
- c:\WINDOWS\1STBOOT.BMP
- c:\WINDOWS\ASD.EXE
- c:\WINDOWS\CLEANMGR.EXE
- c:\WINDOWS\CLSPACK.EXE
- c:\WINDOWS\CONTROL.EXE
- c:\WINDOWS\CVTAPLOG.EXE
- c:\WINDOWS\DEFRAG.EXE
- c:\WINDOWS\DOSREP.EXE
- c:\WINDOWS\DRWATSON.EXE
- c:\WINDOWS\DRWATSON
- c:\WINDOWS\DRWATSON\FRAME.HTM
- c:\WINDOWS\EMM386.EXE
- c:\WINDOWS\HIMEM.SYS
- c:\WINDOWS\HWINFO.EXE
- c:\WINDOWS\JAUTOEXP.DAT
- c:\WINDOWS\Kacheln.bmp
- c:\WINDOWS\Kreise.bmp
- c:\WINDOWS\LICENSE.TXT
- c:\WINDOWS\LOGOS.SYS
- c:\WINDOWS\LOGOW.SYS
- c:\WINDOWS\MORICONS.DLL
- c:\WINDOWS\NDDEAPI.DLL
- c:\WINDOWS\NDDENB.DLL
- c:\WINDOWS\NETDET.INI
- c:\WINDOWS\RAMDRIVE.SYS
- c:\WINDOWS\RUNHELP.CAB
- c:\WINDOWS\SCRIPT.DOC
- c:\WINDOWS\Setup.bmp
- c:\WINDOWS\SMARTDRV.EXE
- c:\WINDOWS\Streifen.bmp
- c:\WINDOWS\SUBACK.BIN
- c:\WINDOWS\SUPPORT.TXT
- c:\WINDOWS\TELEPHON.INI
- c:\WINDOWS\W98SETUP.BIN
- c:\WINDOWS\Wellen.bmp
- c:\WINDOWS\WIN.COM
- c:\WINDOWS\WIN.INI
- c:\WINDOWS\WINSOCK.DLL
其中添加的-email.txt 、-emailinfo.txt. EMAIL.TXT文件当中包含有准备发
往SMTP服务器的邮件,而EMAIL.TXT 是一个Mime文件,它包含编码为WINL0G0N.
EXE的Base64及iframe 漏洞。此蠕虫有它自己的SMTP引擎,能够建立SMTP连接。它
还会查找硬盘中所有包含邮件地址的文件,如*.eml,*.wab ,一旦找到便会保存
在EMAILINFO.TXT文件当中。然后向保存在该文件中的所有地址发送主题为“
Welcome to Yahoo! Mail”的邮件。
同时,会修改注册表:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
\WINL0G0N.EXE="c:\windows\WINL0G0N.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\WINL0G0N.EXE="c:\windows\WINL0G0N.EXE"
当系统重新启动时,WINL0G0N.EXE文件自动执行,并可能导致常规性保护错误
,而同时由于一些文件被删,系统可能无法正确启动Windows,这种情况在Win9x上
会出现,而在NT40系统上还未遇到。但在任何系统上,例行的收发邮件可能会不正
常。
如何判断您的机器是否中毒呢?
查看一下您的windows 、system目录下是否有WINL0G0N.EXE (0表示零,大小
为110592字节)及以下文件: email.txt、emailinfo.txt、frame.htm。若有,说
明中毒了。
--
· .'________'. ·
[____________] OICQ:28174835
/ / .\/. \ \ 大镬啦,佢哋杀咗碌葛!
| \__/\__/ | / 不过唔使惊啵,下一集佢会返生嘎:)
\ /
· /'._ ○ _.'\ ·
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店