● 新病毒W32/Shoho@MM档案 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: xhjx (★好好学习★), 信区: Virus
标  题: 新病毒W32/Shoho@MM档案
发信站: 荔园晨风BBS站 (Fri Dec 21 16:23:22 2001), 站内信件

　　病毒名称：W32/Shoho@MM

　　发现日期：2001-12-20

　　最早出现地区：亚洲

　　长度：110.592K

　　病毒类型：蠕虫病毒

　　别名：W32.Shoho@MM , W32/Welyah.A@mm

　　病毒简介：该蠕虫病毒利用的是ms01-020 Iframe 漏洞，一旦预览或打开邮件
，其附件程序README.TXT________.pif就会自动运行。附件程序乍一看来好似
README.TXT文件，其实它的真正扩展名是.pif（一种32位的PE文件格式）。该蠕虫
是用Visual Basic 6编写的，文件大小为110.592K，其二进制并未打包进文件压缩
软件当中。

　　附件被执行后，它会将WINL0G0N.EXE（注意： 0是零，并非字母O)文件拷贝至
Windows及 "\system"目录下，同时可能在本地系统进行添加或删除文件。

　　可能添加的文件（Win9x系统）如下：

　　-email.txt

　　-emailinfo.txt

　　-c:\WINDOWS\DRWATSON

　　-c:\WINDOWS\DRWATSON\FRAME.HTM

　　-c:\WINDOWS\email.txt

　　-c:\WINDOWS\SYSTEM\WINL0G0N.EXE

　　-c:\WINDOWS\WINL0G0N.EXE

　　可能删除的文件（Win9x系统）如下：

　　- c:\WINDOWS\1STBOOT.BMP

　　- c:\WINDOWS\ASD.EXE

　　- c:\WINDOWS\CLEANMGR.EXE

　　- c:\WINDOWS\CLSPACK.EXE

　　- c:\WINDOWS\CONTROL.EXE

　　- c:\WINDOWS\CVTAPLOG.EXE

　　- c:\WINDOWS\DEFRAG.EXE

　　- c:\WINDOWS\DOSREP.EXE

　　- c:\WINDOWS\DRWATSON.EXE

　　- c:\WINDOWS\DRWATSON

　　- c:\WINDOWS\DRWATSON\FRAME.HTM

　　- c:\WINDOWS\EMM386.EXE

　　- c:\WINDOWS\HIMEM.SYS

　　- c:\WINDOWS\HWINFO.EXE

　　- c:\WINDOWS\JAUTOEXP.DAT

　　- c:\WINDOWS\Kacheln.bmp

　　- c:\WINDOWS\Kreise.bmp

　　- c:\WINDOWS\LICENSE.TXT

　　- c:\WINDOWS\LOGOS.SYS

　　- c:\WINDOWS\LOGOW.SYS

　　- c:\WINDOWS\MORICONS.DLL

　　- c:\WINDOWS\NDDEAPI.DLL

　　- c:\WINDOWS\NDDENB.DLL

　　- c:\WINDOWS\NETDET.INI

　　- c:\WINDOWS\RAMDRIVE.SYS

　　- c:\WINDOWS\RUNHELP.CAB

　　- c:\WINDOWS\SCRIPT.DOC

　　- c:\WINDOWS\Setup.bmp

　　- c:\WINDOWS\SMARTDRV.EXE

　　- c:\WINDOWS\Streifen.bmp

　　- c:\WINDOWS\SUBACK.BIN

　　- c:\WINDOWS\SUPPORT.TXT

　　- c:\WINDOWS\TELEPHON.INI

　　- c:\WINDOWS\W98SETUP.BIN

　　- c:\WINDOWS\Wellen.bmp

　　- c:\WINDOWS\WIN.COM

　　- c:\WINDOWS\WIN.INI

　　- c:\WINDOWS\WINSOCK.DLL

　　其中添加的-email.txt 、-emailinfo.txt. EMAIL.TXT文件当中包含有准备发
往SMTP服务器的邮件，而EMAIL.TXT 是一个Mime文件，它包含编码为WINL0G0N.
EXE的Base64及iframe 漏洞。此蠕虫有它自己的SMTP引擎，能够建立SMTP连接。它
还会查找硬盘中所有包含邮件地址的文件，如*.eml,*.wab   ，一旦找到便会保存
在EMAILINFO.TXT文件当中。然后向保存在该文件中的所有地址发送主题为“
Welcome to Yahoo! Mail”的邮件。

　　同时，会修改注册表：

　　HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

　　\WINL0G0N.EXE="c:\windows\WINL0G0N.EXE"

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

　　\Run\WINL0G0N.EXE="c:\windows\WINL0G0N.EXE"

　　当系统重新启动时，WINL0G0N.EXE文件自动执行，并可能导致常规性保护错误
，而同时由于一些文件被删，系统可能无法正确启动Windows，这种情况在Win9x上
会出现，而在NT40系统上还未遇到。但在任何系统上，例行的收发邮件可能会不正
常。

　　如何判断您的机器是否中毒呢？

　　查看一下您的windows 、system目录下是否有WINL0G0N.EXE (0表示零，大小
为110592字节）及以下文件： email.txt、emailinfo.txt、frame.htm。若有，说
明中毒了。

--
·     .'________'.                                                     ·
      [____________]                                       OICQ:28174835
      /  / .\/. \  \    大镬啦，佢哋杀咗碌葛!
      |  \__/\__/  |   /    不过唔使惊啵，下一集佢会返生嘎:)
      \            /
·    /'._  ○  _.'\                                                    ·

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店