這是壹個Loveletter病毒家族的變種,該病毒通過下面的郵件傳播:
主題:: Where are you?
消息主體: This is my pic in the beach!
附件: JENNIFERLOPEZ_NAKED.JPG.vbs
VBS.Loveletter.CN@mm還安裝文件Cih_14.exe,該文件是CIH病毒的安裝器,並企圖運行CIH病毒。
當執行時,病毒VBS.Loveletter.CN@mm將試圖完成下面的工作:
1、修改註冊鍵中的"Timeout" 鍵值,這樣當 誦薪銑な奔湎低巢換嵯允鞠?ⅰH緩螅?《舅閹魎?鋅捎玫那?鰨?檎揖哂邢鋁欣┱姑?奈募?
--擴展名為.vbe, .jpg, .jpeg 的文件被替換成 《鏡母北盡?
--擴展名為.js, .jse, .css, .wsh, .sct, 和.hta 的文件將被 《靖北咎婊唬?⑶椅募?睦┱姑?崽砑?vbs 。例如:原文件Filename.wsh 變成Filename.wsh.vbs.
--擴展名為.mp2 和.mp3的文件被復制,副本的擴展名中將添加.vbs的後綴,原文件被標記為隱藏。
2、創建下面的註冊鍵:
HKEY_CURRENT_USER\Software\JENNIFFERLOPEZ_NAKED\Worm made in algeria
3、添加註冊鍵值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
值:WORM w exe \\JENNIFERLOPEZ_NAKED.JPG.vbs %
以便每次windows啟動都運行該病毒。
4、檢查註冊鍵:
HKEY_CURRENT_USER\Software\JENNIFFERLOPEZ_NAKED的值是否為:mailed = 1
如果不是,則執行發送郵件功能,發送完郵件,將其值設為1。
5、蠕蟲編寫十六進制的文件並將其保存為\Windows\Cih_14.exe。該文件包含壹個CIH病毒的安裝器,之後執行該文件。壹旦執行,病毒將駐留內存(win98/me),並感染PE可執行文件。
二、W32.Nimda.htm
Worms.Nimda 是壹個新型蠕蟲,也是壹個病毒,它通過email、***享網絡資源、IIS服務器傳播。同時它也是壹個感染本地文件的新型病毒。
Worms.Nimda運行時,會搜索本地硬盤中的HTM和HTML文件和EXCHANGE郵箱,從中找到EMAIL地址,並向這些地址發郵件;搜索網絡***享資源,並試圖將帶毒郵件放入別人的***享目錄中;利用CodeBlue病毒的方法,攻擊隨機的IP地址,如果是IIS服務器,並未安裝補丁,就會中毒。該蠕蟲用它自己的的SMTP服務器去發出郵件。同時用已經配置好的DNS獲得壹個mail服務器的地址。
Worms.Nimda運行時,會查找本地的HTM/ASP文件,將生成的帶毒郵件放入這些文件中,並加入java 瘧盡U庋?康備猛?潮淮蚩?保?突嶙遠?蚩?萌徑鏡膔eadme.eml。
Worms.Nimda感染本地PE文件時,有兩種方法,壹種是查找所械腤INDOWS 應用程序(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/App Paths中),並試圖感染之,但不感染WINZIP32.EXE;第二種方法搜索所有文件,並試圖感染之。被感染的文件會增大約57KB。
如果用戶遊覽了壹個已經被感染的web 頁時,就會被提示下載壹個.eml(Outlook Express)的電子郵件文件,該郵件的MIME頭是壹個非正常的MIME頭,並且它包含壹個附件,即此蠕蟲。這種郵件也可能是別人通過網絡***享存入妳的計算機中,也可能是在別人的***享目錄中,無論如何,只要妳在WINDOWS的資源管理器中選中該文件,WINDOWS將自動預覽該文件,由於Outlook Express的壹個漏洞,導致蠕蟲自動運行,因此即使妳不打開文件,也可能中毒,相關信息請參見微軟安全網站:/technet/security/bulletin/MS01-020.asp,同時,該漏洞已有安全補丁:/windows/ie/downloads/critical/q290108/default.asp。
當這個蠕蟲執行的時候,它會在WINDOWS目錄下生成MMC.EXE文件,並將其屬性改為系統、隱藏;它會用自己覆蓋SYSTEM目錄下的RICHED20.DLL,這個文件是OFFICE套件運行的必備庫,WINDOWS的寫字板等也要用到這個動態庫,任何要使用這個動態庫的程序試圖啟動時,都會激活該它;它會將自己復制到SYSTEM目錄下,並改名為LOAD.EXE,同時將SYSTEM.INI文件中的SHELL項改為“explorer.exe load.exe - dontrunold”,這樣,在系統每次啟動時,將自動運行它;這個蠕蟲會在已經感染的計算機***享所有本地硬盤,同時,這個蠕蟲會以超級管理員的權限建立壹個guest的訪問帳號,以允許別人進入本地的系統。這個蠕蟲改變Explorer的設置這樣就讓它無法顯示隱藏文件和已知文件的擴展名
三、W32.Elkern.cav.c
W32.ElKern.3326感染***享文件、映像驅動器,同時該病毒還會感染本機硬盤的\Windows\System目錄中的文件。
如果病毒是在Windows NT/2000系統中被激活,當第壹次被激活後,病毒變會蹦潰。
如果病毒在Windows 9x系統中被激活並且本機有帶寫保護的網絡映像,很短的時間後,病毒將使機器當掉。
病毒感染文件後,文件的大小並不改變。
W32.ElKern.3326在感染文件時可能是空的感染源也可能是“添加器”,這就意味著,如果可能,病毒將拒絕將自身代碼添加到宿主文件內,免得文件的尺寸變大。
壹旦病毒被激活,它將創建壹個自身的可執行文件後,直接控制對宿主文件。
在\Windows\System目錄中創建自身的副本,文件名依不同的系統而不同:
1)Windows 95/98/Me: %System%\Wqk.exe
2)Windows NT/2000: %System%\Wqk.dll
根據不同的操作系統,W32.ElKern.3326創建不同的不同的註冊鍵:
1)Windows 95/98/Me
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
值:WQK %System%\Wqk.exe
2)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
值:AppInit_DLLs %System%\Wqk.dll
etween each file that it tries to infect.
四、VBS.Redlof@M
1.此病毒屬於腳本類病毒,此病毒感染腳本類型的文件。
2.此病毒運行時,全盤查找腳本類型的文件{vbs,htm, html等),如果找到,則將病毒自身加入這些文件的尾部,完成感染。
3.此病毒感染目錄時,還會在壹些目錄下產生兩個文件,壹個名為:desktop.ini的目錄配置文件,壹個名為:folder.htt的病毒體文件。
五、W32.Klez
該病毒基本分為兩部分:壹部分是狹義上的病毒,它感染PE結構文件,病毒大小約為3K,用匯編語言編寫;第二部分是蠕蟲大小為56K,它在運行中會釋放並運行壹個11722字節的帶毒的PE文件。第二部分是用VC++編寫的,它只可以在WINDOWS 9X或WINDOWS2000上運行,在NT4上無法運行。
它的傳播方式有四種:
第壹種:通過INTERNET郵件,它搜索當前用戶的地址簿文件中的類郵件地址的文本內容,或隨機計算郵件地址,通過WINDOWS的SOCKET函數集用SMTP服務器發送自己這個帶毒木馬,郵件文件是由木馬部分形成,並且該郵件會在OUTLOOK EXPRESS下自動執行,它的主題是隨機的,但以下幾種情況:
Hi
Hello
How are you?
Can you help me?
We want peace.
Where will you go?
Congratulations!!!
Don't cry.
Look at the pretty.
Some advice on your shortcoming.
Free XXX Pictures.
A free hot porn site.
Why don't reply to me?
How about have dinner with me together?
信的正文為:
I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?..Don't call my names,I have no hostility.
Can you help me?
第二種:通過網絡鄰居,它搜索所有的網絡連接,查找***享目錄,將自己的文件放到享目錄中,並試圖讓遠程計算機將它作為壹個服務啟動。
第三種:通過磁盤傳播,它創建專門的線程感染磁盤,如果當前日期奇數月的13號,將找到的文件內容進行復制。
第四種:方式病毒感染。
病毒部分的運行過程:
1、解密後面的代碼長度258H字節
2、然後病毒在內存中查找KERNEL32模塊,並根據名字的檢驗字找到壹大批函數入口,這些函數供後面的代碼調用。
3、申請內存,將所有代碼拷貝到申請的內存中,並轉申請的內存執行。
4、查檢有無調試程序(調IsDebugPresent函數),如在調試程序下運行,終止病毒代碼,返回到原宿主程序(如果是配套的木馬,則返回到操作系統)。
5、啟動感染代碼,如未在調試程序下運行,在SYSTEM(由GetSystemDirectory)目錄感染或建立WQK.EXE(WIN9X下)或WQK.DLL(NT下)。
6、將當前進程註冊為服務進程。
7、創建感染線程,根據系統時間,如果為13號且為3月或9月,感染所有硬盤或網絡盤文件。否則感染系統目錄。某些條件下創始的感染線程會啟動另壹個感染線程,直到系統崩潰。
8、如果是NT操作系統,同時感染所有網絡鄰居。
9、返回宿主或操作系統。
木馬部分運行過程:
1、解碼所有字符串。
2、改變當前進程訪問權限。
3、啟動線程1,線程1的作用如下:
檢查當前所有進程,如果有以下進程(部分匹配),則終止這些進程:
_AVP32, _AVPCC, _AVPPM, ALERTSVC,AMON
AVP32,AVPCC,AVPM,N32SCANW,NAVAPSVC,
NAVAPW32,NAVLU32,NAVRUNR,NAVW32,NAVWNT,
NDD32,NPSSVC,NRESQ32,NSCHED32,NSCHEDNT,
NSPLUGIN,SCAN,SMSS
如果是WINDOWS9X系統,將當前程序設為自啟動(Software\Microsoft\Windows\CurrentVersion\Run)線程永不終止。
4、啟動線程2,作用如下:
復制自己,運行後刪除,然後線程終止。
5、在系統目錄中創建KRNL32.EXE,如果是9X,運行它,並將它放入 Software\Microsoft\Windows\CurrentVersion\Run 中自動運行。如果是2000系統,
將它作為Service啟動。
6、創建線程3,發送EMAIL。
創建線程4,感染網絡所有***享文件,每8小時搜索壹次。
創建線程5,搜索磁盤文件。
創建線程6,檢查當前日期是否為奇數月的13號,如是,將所有文件復制壹次,線程5小時運行壹次,永不退出。
六、W32.Nimda.eml
感染途徑:
該病毒是壹種傳染途徑很多的病毒,並且嘗試利用多種已知系統漏洞,於第壹版相似,它通過以下途徑感染
l 電子郵件(附件)
l 局域網***享驅動器
l 利用沒有安裝Service Pack的IIS(Internet Information Server)
l 通過文件感染
利用了如下的系統漏洞:
l MIME漏洞,可以在沒有得到用戶許可的情況下自動執行附件
l IIS漏洞,使之可以被上載惡意代碼與前版本的不同:
Win32.Nimda.E是Nimda.A的新變種,它修改了以前版本的壹些錯誤,並且加入了對付多種對抗反病毒軟件的設計,它與第壹版的主要區別有:
l 附件名改名為Sample.exe
l 復制本身到系統目錄下的名稱改為Csrss.exe(原來為mmc.exe)
l 釋放出的動態庫名稱變更為Httpodbc.dll
建議用戶做如下系統升級,以便防患於未然:
升級到Internet Explorer 5.01 SP2 或
升級到Internet Explorer 5.5 SP2 或
升級到Internet Explorer 6.0
下載並安裝升級包,NT4用戶使用NT4 Service Pack 6a,Windows 2000用戶使用 Windows 2000 Service Pack 2,並且到微軟公司的主頁(或用Windows Update)下載安全補丁。
註意磁盤***享的權限、口令設置,不要讓所有用戶對硬盤驅動器都可以讀寫不要打開來歷不明的郵件附件,尤其是可執行文件。
七、W32.Klez.eml
新的Klez變種在以前的基礎上增加了更多的工作線程,並且在駐留系統後可能會結束其它進程並且刪除相應文件,所以有較大的破壞,提請用戶註意!
蠕蟲的流程:
1.蠕蟲使用AdjustTokenPrivileges調整自己的特權,
2.拷貝自己的壹個副本到系統目錄下,名為win****.exe.
3.修改註冊表,向SCM數據庫中添加新的服務。
4.復制自己並運行,然後刪除。
5.調用StartServiceCtrlDispatcher函數。
6.服務創建下面的線程。
7.結束。
第壹個線程:
寫註冊表
遍歷系統進程,結束正在運行的進程並刪除進程的磁盤文件。
第二個線程:
發email.
第三個線程:
遍歷本地網絡。
第四個線程:
註冊表操作
第六個線程:
搜索特定目錄
第七個線程:
搜本地磁盤。
第八個線程:
搜索磁盤文。
第五個線程:
復制自己,運行後刪除。
信件主題可能為以下內容:
Hi,
Hello,
Re:
Fw:
Undeliverable mail--"..."
Return
how are you
Let's be friends
Darling
Don't drink too much
your password
Honey
Some questions
Please try again
welcome to my hometown
The Garden of Eden
Introduction on ADSL
Meeting notice
questionnaire
Congratulations
Sos!
Japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures
信件攜帶的附件虛假擴展名可能為以下之壹:
txt htm html wab doc xls jpg cpp c pas mpg mpeg bak mp3
真實擴展名為EXE SCR PIF BAT之壹。
病毒體內有以下加密信息:
Win32 Klez V2.0 & Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*)
Copyright,made in Asia,announcement:
1.I will try my best to protect the user from some vicious virus,Funlove,Sircam,Nimda,CodeRed and even include 32.Klez1.X
2.Pitiful AVers,can't Elkern 1.0 & 1.1 work on Win 2K&XP?Plz clear your eyes.
3.Well paid jobs are wanted
4.Poor life should be unblessed
5.Don't accuse me.Please accuse the unfair shit world
解決方法,本病毒無法手工殺毒,只能升級殺毒軟件。並且由於會結束進程,所以建議用戶在DOS下用殺毒軟件清除。
八、Script.Exploit
1.此病毒利用腳本的SCAPE功能將自身加密,以達到隱藏自己的目的.
2.此病毒利用”萬花谷病毒”的技術來破壞系統的正常使用.
3.將IE的首頁通過系統註冊表項
HKEY_LOCAL_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page",設置成為:” [url] Explorer\\Main\\Window Title的修改使系統在打開所有的IE窗口時, 窗口的標題為:” HUNK提醒您中了※混客絕情炸彈※QQ:5604160”.
九、W32.FunLove.gen
這是WIN32類型的病毒,它可以感染Windows 9x 和Windows NT 4.0操作系統。它感染所有WIN32類型的文件(PE文件),如Windows 和 Program Files 目錄及其子目錄中的擴展名為.EXE, .SCR, and .OCX 的文件。該病毒搜索所有具有寫訪問的網絡***享文件夾並感染那裏的所有的文件。該病毒同時能夠修補NT環境的完整性檢測,以便能夠感染系統文件。
病毒中有'~Fun Loving Criminal~'字樣。 該病毒沒有故意的破壞性,但是由於NT系統安全性很差而可能造成的破壞還是應當引起註意的。
同壹個簡單的添加壹樣,Win32/Funlove.4099將它的代碼復制到宿主文件的最後壹個扇區的結尾,然後,它修改PE文件頭信息以顯示新的扇區大小,使扇區的特征適應病毒的需要,同時病毒修改原文件入口點的程序代碼以便執行病毒代碼。
當壹個染毒程序被運行,病毒代碼程序獲得系統控制權,Win32/Funlove.4099 病毒在系統目錄下創建FLCSS.EXE文件,並從染毒宿主文件的最後提取出病毒代碼,將其寫入該文件中,然後FLCSS.EXE被執行。
如果是在NT的許可權限下運行,FLCSS.EXE會將自身像壹個服務程序壹樣安裝到NT機器上。它會以"FLC"顯示在標準的NT服務列表中,並且被設置為在每次啟動時自動運行此服務。在Windows 9X下,它像壹個隱含程序壹樣運行,在任務列表中是不可見的。
在病毒程序第壹次運行時,該病毒會按照壹定的時間間隔,周期性地檢測每壹個驅動器上的EXE,SCR(屏保程序)和OCX(ActiveX control)文件,找到相應的文件就感染它們。它還搜索在網絡上可使用的***享資源,並感染任何有訪問權限的同壹類型的文件。因此,它可以在機器間完全開放權限的***享文件上非常快地傳播。該病毒檢測以下文件名且不感染它們:ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。
盡管該病毒對數據沒有直接的破壞性,但是在NT下,Win32/Funlove.4099 病毒還是對NTOSKRNL.EXE 文件做了壹個小的修改(patch),使得文件的許可請求總是返回允許訪問(access allowed),這意味著被感染機器的安全已受到了極大地威脅。只要是在被修改的機器上,所有的用戶都擁有了對每壹個文件的完全控制訪問權,即使是在系統中可能擁有最低權限的GUEST,也能讀取或修改所有文件,包括通常只有管理員才能訪問的文件。在NT啟動時,NTLDR將檢測NTOSKRNL.EXE 的完整性,所以病毒也修改NTLDR,因此NTLDR將允許系統加載修改後的NTOSKRNL文件。這種修改只能在某些NT服務包(service packs)中起作用,但是不管當前機器的SP級別病毒都會申請修改程序。在感染FLC病毒的NT機器上清除病毒後,需要用備份文件對這些被修改的文件進行恢復,或者重新安裝這些文件。
如果FLCSS.EXE 運行在DOS下,病毒將顯示'~Fun Loving Criminal~'字串,然後它試圖通過鍵盤控制器重新啟動系統。這大概是希望Windows被加載且病毒可能有另壹個機會去執行。這種嘗試經常失敗,而計算機則被鎖。
十、W95.Spaces.gen
這是壹個危險的常駐內存寄生病毒。它只在WIN95/98下進行復制,而且會感染WIN32可執行文件。當壹個受染文件運行的時候,病毒會自我安裝到WINDOWS內存中。在感染的時候,病毒會增加文件最後區的空間病把自己寫到這裏。
在七月壹日,病毒會破壞硬盤的MBR區病毒終止機器的運行。它會刪除MBR載入程序的代碼並修改磁盤的分區表格,這樣只有壹個區間被列出,然後指到MBR區。這種方式的破壞很危險:在DOS裝載的時候會被終止。雖然磁盤上的數據沒有被破壞,但是這個磁盤區不能被再次訪問了。病毒能繞過BIOS防病毒保護程序把自己直接寫到硬盤控制器的端口,這樣就破壞了MBR區間。由於病毒程序存在缺陷,因此會產生"General Protection Fault"出錯信息,這樣MBR就會免於受到破壞。
註意:如果在壹個文件的最後部分發現字符串ERL,這就能證明此病毒已經感染了這個文件。