該病毒利用阿拉法特逝世的訊息來引誘用戶,運行病毒附屬檔案,進行傳播。該病毒還可利用網路共享進行傳播。
基本介紹
- 病毒名稱:WORM_ScardSer.A
- 其他病毒名:WORM_GOLTEN.A(Trend Micro)等
- 感染系統:Windows 2000, Windows 95等七個
- 引誘工具:阿拉法特逝世的訊息
- 傳播方式:通過網路共享傳播
基本信息,病毒特徵與應對方法,生成病毒檔案,修改註冊表項,通過電子郵件傳播,通過網路共享傳播,病毒運行,
基本信息
病毒名稱: WORM_ScardSer.A
其他病毒名:WORM_GOLTEN.A(Trend Micro)
W32.Scard(Symantec)
Worm/Alert.a(江民)
Worm.SCardSer(瑞星)
感染系統:Windows 2000, Windows 95, Windows 98,
Windows Me, Windows NT, Windows Server 2003,
Windows XP
病毒特徵與應對方法
生成病毒檔案
病毒運行後在%System%目錄下生成ALERTER.EXE、COMWSOCK.DLL、DMSOCKDLL、 IETCOM.DLL、SCARDSER.EXE、SPTRES.DLL。(其中,%System%為系統資料夾,在默認情況下,在Windows 95/98/Me中為 C:\Windows\System、在Windows NT/2000中為C:\Winnt\System32、在Windows XP中為C:\Windows\System32)
修改註冊表項
病毒創建註冊表項,使得自身能夠在系統啟動時自動運行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon下創建Shell = "Explorer.exe"
病毒還會生成如下註冊條目,以便能夠下載遠程檔案,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 下創建
Dfile = "·"
通過電子郵件傳播
病毒電子郵件特徵如下:
主題: Latest News about Arafat!!!
正文:
Hello guys!
Latest news about Arafat!
Unimaginable!!!!!
該病毒含有兩個.EMF檔案作為附屬檔案。ARAFAT_1.EMF是一個.JPG檔案,顯示內容如下:另一個附屬檔案為ARAFAT_2.EMF,該檔案包含了可以利用微軟Windows XP Metafile Heap Overflow的漏洞。當附屬檔案被打開後,上述檔案會在受感染的系統中生成一份自身拷貝。
通過網路共享傳播
病毒會嘗試通過網路共享驅動器傳播,它會在默認的網路資料夾ADMIN$和IPC$中運行病毒自身的拷貝。病毒會嘗試使用自帶的密碼列表連線網路共享驅動器,來實施進一步的傳播。
