I-Worm/Torvil.c是一個群發郵件的蠕蟲病毒,是用Delphi語言編寫的經過ASPack的壓縮。它利用可用的MAPI或者自身的SMTP引擎傳播自身。也可以通過網路共享進行傳播。
基本介紹
- 中文名:Worm/Torvil.c
- 病毒長度:65,536 bytes
- 病毒類型:網路蠕蟲
- 危害等級:**
病毒信息,傳播過程,
病毒信息
I-Worm/Torvil.c
影響平台:Win9X/2000/XP/NT/Me/2003
I-Worm/Torvil.c是一個群發郵件的蠕蟲病毒,是用Delphi語言編寫的經過ASPack的壓縮。它利用可用的MAPI或者自身的SMTP引擎傳播自身。也可以通過網路共享進行傳播,還能通過KaZaA和Xolox等檔案共享程式以及ICQ和mIRC聊天軟體進行傳播。
傳播過程
1.顯示一個假信息,提示是否安裝微軟的RPC補丁程式。
2.複製自身為:
%Windir%schost.exe
%Windir%<name>.exe
註:<name>通常是以spool或者SMSS後面加上隨機字元串
3.反覆打開和關閉一個命令視窗,視窗的標題是<name>.exe,內容為:<當前系統日期和時間> xExec %Windir%<name>.exe。
4.生成檔案:C:\Torvil.log --- 記錄檔案且不包含病毒代碼
5.修改註冊表:
在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加鍵值:"Service Host"="%Windir%<name>.exe"
在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下添加鍵值:"Shell"="Explorer.exe %Windir%<name>.exe"
在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced下創建OneLevelDeeper\TorvilDB子鍵,並添加鍵值:"TORVIL"="<name>.exe"
6.終止一些反病毒軟體的進程。
7.利用內置的的密碼庫嘗試與C$, IPC$,和$Admin共享進行連線,如果成功,便將病毒檔案Remainder.exe複製到其下。
8.查找KaZaA和Xolox的已分享檔案夾以及ICQ的下載資料夾的,將下列檔案複製到該目錄下:
NetObjects Fusion v7.5
Macromedia Studio MX 2004 AllApps
BearShare Pro 4.3.0
Borland C++ BuilderX 1.0 Enterprise Edition
Microsoft Office System Professional V2003
Halo FLT
Nero Burning ROM v6.0.0.19 Ultra Edition
TVTool v8.31
NHL 2004
Norton SystemWorks 2004
McAfee Personal Firewall Plus 2004
iMesh 4.2 Ad Remover
Norton AntiVirus 2004
Norton Antispam 2004
Sophos AntiVirus v3.74
Macromedia Contribute 2
McAfee VirusScan Home Edition 2004
McAfee SpamKiller 2004
13.嘗試修改mIRC.ini腳本檔案,以通過mIRC將自身傳送給其它的mIRC用戶,使其感染。
14.從Outlook地址薄以及MAPI的收件箱中查找Mail地址,利用可用的MAPI或者自身的SMTP引擎傳播自身。郵件的主題、正文及附屬檔案都不一定。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%Program Files%一般為C:\Program Files;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), 或
C:\Windows\System32 (Windows XP)。
