I-Worm/China-1

描述 當我們瀏覽含有病毒郵件時，病毒利用病毒體內VBScript代碼在本地的可執行性（通過Windows Script Host進行），對當前計算機進行感染和破壞。即，一旦我們將滑鼠箭頭移到帶有病毒體的郵件名上，就能受到該網路蠕蟲的感染。該網路蠕蟲利用的是OUTLOOK的漏洞。

這是針對微軟信件瀏覽器的弱點和WINDOWS NT/2000、IIS的漏洞而編寫出的一種傳播能力很強的病毒，這一病毒同等於“歡樂時光”和“藍色代碼”病毒的合力。

病毒在WINDOWS\SYSTEM目錄內生成病毒檔案RICHED20.DLL和LOAD.EXE，或README.EXE、MMC.EXE等，還在所有硬碟的根目錄下生

ADMIN.DLL病毒檔案，其位元組數為：57344位元組。

在功能的設計上，新的變種和“中國一號”病毒相同，變種的附屬檔案檔案由原來的readme.exe修改為Sample.exe,檔案的大小是：57344位元組。而且釋放的DLL的檔案名稱稱由admin.dll變成了Httpodbc.dll, 該程式在合法的WINDOWS系統下有該程式，該程式是在INTERNET網路上通訊使用的;原來拷貝到WINDOWS的SYSTEM目錄下的檔案是Mmc.exe,現在修改成為了Csrss.exe 檔案。該檔案的作用同樣是病毒用來感染區域網路的；Csrss檔案是"client-server runtime subsystem"(客戶端-伺服器實時子系統的簡稱); 在合法的WINDOWS系統下有該檔案，該檔案的作用是在控制台下建立刪除執行緒使用的。

該病毒的變種的破壞作用與原病毒一樣也是大量傳送EMAIL郵件，郵件附屬檔案的名稱是Sample.exe。但在郵件中是看不到該附屬檔案的。

病毒傳染Html、nws、.eml、.doc、.exe等檔案，而這些檔案大部分被破壞或替換。

病毒還找出Email地址傳送病毒本身，即附屬檔案長度約為79225位元組，但打開看時，其長度為0。該檔案實際上就是EMAIL病毒信件本身。

病毒還對SYSTEM.INI修改，在[boot]組下的

shell=explorer.exe load.exe -dontrunold,

這樣在系統每次啟動時該病毒就會傳染，駐留記憶體。

病毒利用IIS5.0的漏洞，上傳ADMIN.DLL在C:\、D:\...並修改用戶的主頁，在主頁後加了一個連結README.EML。感染的電腦均不斷生成一個個隨機檔案名稱的eml檔案，病毒還在C:\INETPUB\Scripts或WINDOWS\TEMP目錄中不斷複製為TFTP00X.DAT的檔案，其位元組數為：57344位元組。

該網路蠕蟲有4種傳播方式：

(1)通過EMAIL傳送在客戶端看不到的郵件附屬檔案程式,該部分利用了微軟的OE信件瀏覽器的漏洞；

(2)通過網路共享的方式來傳染給區域網路上的網路鄰居，我們在網路上使用電腦時，建議不設定完全的不使用密碼的共享方式，設定密碼可以有效的防止該病毒的傳播；

(3)通過沒有補丁的IIS伺服器來傳播，該傳播往往是病毒屢殺不絕的原因；

(4)通過感染普通的檔案來傳播，在這一點上和普通的病毒程式相同。

實際上(1)和(3)，我們普通的用戶只有將微軟的補丁程式打上，才能有效預防。

病毒利用許多方式來傳播自己:首要的途徑是通過EMAIL；還可以通過共享的磁碟分區來感染別的機器；試圖將病毒檔案本身拷貝到沒有安裝微軟補丁的IIS伺服器上；　同時還是一個可以感染本地磁碟上的檔案以及本地的區域網路上的其他機器上的檔案。

該蠕蟲程式利用的是微軟WEB的UNICODE 的遍歷漏洞；

而當一個用戶收到感染該病毒的信件時，由於該病毒利用了OUTLOOK的MIME漏洞，使得當用戶即使只是預覽該信件時，隱藏在該信箋中的病毒就會自動被執行。

當用戶瀏覽含有該病毒的網路時，會提示下載一個含有該病毒的檔案，實際上是一個eml信件檔案。

在受感染的機器上，該病毒還會自動將C糟共享，使得外部的用戶可以訪問系統目錄，而同時該病毒還可以建立一個guest訪問的用戶而且該用戶的許可權是系統管理員級別的。

該病毒感染的檔案是在系統的註冊表鍵值下的：　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths的常用的EXE檔案.

病毒覆蓋了WINDOWS的SYSTEM目錄下的riched20.dll檔案，使得該每次系統執行任何程式該病毒都會被執行。並將自身拷貝成load.exe存放在windows的system目錄下。在該機器共享的機器上的EXE檔案會被感染，而EML檔案和NWS檔案會被該病毒本身代替。病毒修改系統註冊表使得所有的本地硬碟為共享，相應的鍵值為：　HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$ -> Z$]

當然需要重新啟動計算機，來使這些有效。只有C糟的共享不需要重新啟動。

該病毒還可以修改IE的設定，使得系統、隱含屬性的檔案不顯示。

該病毒在WINDOWS 的TEMP的臨時目錄下生成許多臨時的檔案。檔案名稱稱類似的一個是：

mepA2C0.TMP.exe或者mepA2C2.TMP等，前者是該病毒執行檔案本身，而後者是病毒的EMAIL形式本身，實際上這兩者是同一一個檔案：也就是病毒本身。所有的檔案本身都 是系統隱含檔案屬性。

(1)在C、D、E等邏輯盤符的根目錄下有檔案admin.dll,檔案的長度是57344位元組；

(2)EMAIL檔案readme.eml檔案的存在,該檔案長度約是79225位元組,實際上是病毒檔案的EMAIL表現形式;

(3)C糟在沒有手動修改的情況下，變成了可以共享的驅動器。

(4)該病毒存在的檔案名稱稱可能是以下的幾種:

load.exe;mmc.exe;riched20.dll;admin.dll;readme.exe;mep*.tmp.exe,這些都是病毒程式本身，必須直接刪除。對於系統正常的檔案只能使用系統安裝盤或者乾淨的檔案來覆蓋,在這裡的情況是mmc.exe和riched20.dll;

(6)為了隱含檔案，病毒修改了以下的系統註冊表：　HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt　HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden

在WINDOWS 2000或者WINDOWS NT系統下，系統的以下註冊表被刪除:　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Share\Security

(7)該病毒傳播的EMAIL信件表示形式如下，如果收到類似信件請注意:

EMAIL的主題是變化的、不確定的；

信件的內容是空的，沒有任何內容;

附屬檔案的檔案是變化的，並且是使用了IE的HTML格式的圖示.

該病毒的附屬檔案實際上是一個可執行的檔案,但是該蠕蟲設定成audio/x-wav的檔案類型,因此當OUTLOOK在收到該信件後，如果您沒有打補丁的話，OUTLOOK會認為該附屬檔案是一個類似的聲音檔案而直接執行了.

解決方案 1 利用KV2004可以直接在Windows下查殺該病毒，方法是先對系統記憶體進行掃描查殺，再對整個硬碟進行查殺。也可利用KV的新的製做DOS防毒盤的功能，用KVDOS在DOS對此病毒進行查殺清除。

2 在SYSTEM.INI檔案中將LOAD.EXE的檔案改掉，如沒有變，就不用改。正常的[boot]下的應該是shell=explorer.exe.必須修改該檔案中的shell項目，否則清除病毒後，系統啟動會提示有關load.exe的錯誤信息。（通常是對Windows 9X系統而言）

3 為了預防該病毒在瀏覽該帶毒信箋可以自動執行的特點，必須下載微軟的補丁程式。這樣可以預防此類病毒的破壞。

4 WINDOWS 2000如果不需要可執行的CGI，可以刪除可執行虛擬目錄,例如/scripts等等。

5 如果確實需要可執行的虛擬目錄，建議可執行虛擬目錄單獨在一個分區

6 對WINDOWS NT/2000系統，微軟已經發布了一個安全補丁

7 病毒被清除後, 在windows的system目錄下的檔案riched20.dll將被刪除，請從WINDOWS的安裝盤上或再無毒機中拷貝一份乾淨的無病毒的該檔案，否則的話，寫字板和OFFICE, WORD等程式將不能正常運行。

8 及時升級KV系列反病毒軟體，開啟各項監視程式。