荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: xhjx (消失几日), 信区: Virus
标 题: Carrytone:采用新方法传播的蠕虫
发信站: 荔园晨风BBS站 (Mon Jan 14 13:33:32 2002), 站内信件
病毒名称: Carrytone
别名: I-Worm.Taripox.b
大小:40k
Carrytone是一个采用新技术、通过大量发送邮件的蠕虫,蠕虫大小只有40K,
用C语言编写,运行于基于NT的系统上。
为了进行传播,蠕虫Carrytone使用了一个简单的SMTP 代理,监听染毒机器的
25端口(标准的SMTP端口),当蠕虫开始运行后,它将从用户的e-mail设置中获取
SMTP服务器名,然后修改HOSTS文件,将SMTP服务器的地址指向蠕虫正在监听的本
机地址(localhost)。这样,当用户发送邮件的时候,邮件客户端将直接连到蠕
虫而非邮件服务器。当收到连接指令后,蠕虫在客户端与实际MAIL服务器之间转播
并回答所有命令直到它获得SMTP DATA命令来标记邮件数据的其始点,在这个位置
,蠕虫将自身的副本插入消息体内。
附件的名称是收件人和'.doc.pif'的组合。
当带毒的附件被打开后,它将复制自身到Windows目录中,文件名为MMOPLIB.
EXE。
并添加下列注册表:
[HKLM]\Software\Microsoft\Windows\CurrentVersion\Run\mmopl
利用下面的注册件来存储一些数据:
[HKLM]\Software\Microsoft\Media Optimization Library
清除办法:
1、删除下列注册键中多余的值:
[HKLM]\Software\Microsoft\Windows\CurrentVersion\Run\mmopl
[HKLM]\Software\Microsoft\Media Optimization Library
2、重启系统,然后删除Windows目录下的MMOPLIB.EXE文件。
3、修改HOSTS文件,位置在%system_dir%\drivers\etc\hosts,将其中指向本
机(127.0.0.1)的多余邮件服务器地址删除。
--
OICQ:28174835 ┏┷┓ ┏┷┓
┏┷┓ ─────┨1┠┏┷┓ ● ○ ┏┷┓┫L┠──
┏┷┓ ┨0┠┏┷┓ ┗┯┛┨4┠─ /■\/▲\ ─┨I┠┗┯┛
─┨5┠┏┷┓┗┯┛┨1┠┏┷┓ ┗┯┛ /\ /\ ┗┯┛ ┏┷┓
┗┯┛┨2┠─ ┗┯┛┨3┠── ─┨U┠
┗┯┛ ┗┯┛ ┗┯┛
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店