荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: xhjx (消失几日), 信区: Virus
标  题: Carrytone:采用新方法传播的蠕虫
发信站: 荔园晨风BBS站 (Mon Jan 14 13:33:32 2002), 站内信件

病毒名称: Carrytone
别名: I-Worm.Taripox.b
大小:40k

    Carrytone是一个采用新技术、通过大量发送邮件的蠕虫,蠕虫大小只有40K,
用C语言编写,运行于基于NT的系统上。

    为了进行传播,蠕虫Carrytone使用了一个简单的SMTP 代理,监听染毒机器的
25端口(标准的SMTP端口),当蠕虫开始运行后,它将从用户的e-mail设置中获取
SMTP服务器名,然后修改HOSTS文件,将SMTP服务器的地址指向蠕虫正在监听的本
机地址(localhost)。这样,当用户发送邮件的时候,邮件客户端将直接连到蠕
虫而非邮件服务器。当收到连接指令后,蠕虫在客户端与实际MAIL服务器之间转播
并回答所有命令直到它获得SMTP DATA命令来标记邮件数据的其始点,在这个位置
,蠕虫将自身的副本插入消息体内。

    附件的名称是收件人和'.doc.pif'的组合。

    当带毒的附件被打开后,它将复制自身到Windows目录中,文件名为MMOPLIB.
EXE。

    并添加下列注册表:

    [HKLM]\Software\Microsoft\Windows\CurrentVersion\Run\mmopl


    利用下面的注册件来存储一些数据:
    [HKLM]\Software\Microsoft\Media Optimization Library

清除办法:

   1、删除下列注册键中多余的值:

     [HKLM]\Software\Microsoft\Windows\CurrentVersion\Run\mmopl
     [HKLM]\Software\Microsoft\Media Optimization Library

   2、重启系统,然后删除Windows目录下的MMOPLIB.EXE文件。

   3、修改HOSTS文件,位置在%system_dir%\drivers\etc\hosts,将其中指向本
机(127.0.0.1)的多余邮件服务器地址删除。


--
   OICQ:28174835                ┏┷┓                          ┏┷┓
              ┏┷┓  ─────┨1┠┏┷┓    ●  ○    ┏┷┓┫L┠──
  ┏┷┓      ┨0┠┏┷┓      ┗┯┛┨4┠─ /■\/▲\ ─┨I┠┗┯┛
─┨5┠┏┷┓┗┯┛┨1┠┏┷┓      ┗┯┛    /\  /\    ┗┯┛  ┏┷┓
  ┗┯┛┨2┠─    ┗┯┛┨3┠──                            ─┨U┠
        ┗┯┛            ┗┯┛                                  ┗┯┛

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店