Worm.Opossum.a

這是一個通過電子郵件網路共享和二款IRC聊天軟體(mIRC和PIRCH98)傳播的蠕蟲病毒。該病毒採用了WORD文檔的圖示,取了個比較有吸引力的名字,用戶很可能誤以為這是一個WORD文檔而好奇地去打開它,從而感染該病毒。

基本介紹

  • 中文名:Worm.Opossum.a
  • 外文名:Email-Worm.Win32.Opossum.a [AVP]
  • 中文名稱:負鼠
  • 病毒類型:蠕蟲
病毒別名,威脅級別,中文名稱,病毒類型,影響系統,病毒行為,病毒檔案,

病毒別名

Email-Worm.Win32.Opossum.a [AVP]

威脅級別

★★

中文名稱

負鼠

病毒類型

蠕蟲

影響系統

Win9x / WinNT

病毒行為

該病毒發作的時候會將自己拷貝到系統目錄、臨時目錄和桌面,這些病毒副本也都採用WORD文檔的圖示,因此非常具有欺騙性。該病毒會修改.exe、.key、.ini和.reg的檔案關聯到病毒檔案,使得每次打開這些類型檔案的時候該病毒都會得到運行。病毒會禁止使用“運行”和“資料夾選項”,並共享系統磁碟。每月的1號、15號、25號該病毒都會嘗試關閉系統,但由於某種原因這個動作並沒有得到實施。通過在mIRC和PIRCH98的腳本配置檔案中寫入一些內容,使得該病毒也能通過這二個IRC聊天系統傳播。病毒會以Microsoft的名義回復Outlook裡面的郵件,這些郵件都帶有病毒的副本,郵件正文欺騙用戶打開附屬檔案,導致感染病毒。

病毒檔案

禁止使用“資料夾選項”:
1)將病毒拷貝到:
桌面\Sir.d4ng3
%Temp%\help32.exe
%SystemDriver%\ntdetect32.exe
%SystemDriver%\Trash\svchost.exe
%System%\regedit.exe
%System%\regedit32.exe
%System%\regscan32.exe
%System%\Preventivo.doc[若干個空格].pif
%System%\Documents.doc[若干個空格].pif
%System%\Documento.doc[若干個空格].pif
%System%\logo10090.gif[若干個空格].pif
%System%\excel_file.doc[若干個空格].pif
%SystemRoot%\598
%SystemRoot%\w32.exe
%SystemRoot%\regedit.exe
%SystemRoot%\regedit32.exe
%SystemRoot%\ntdetact32.exe
2)在註冊表中為病毒添加啟動項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"NetSyStem"="Sir.d4ng3"
"Microsoft"="%SystemRoot%\w32.exe"
"ScanRegistry"="%System%\regscan32.exe"
(Default)="%Temp%\help32.exe"
"Trash"="%SystemDriver%\Trash\svchost.exe"
"[隨機名稱]"="%SystemRoot%\598"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
(Default)="%SystemRoot%\ntdetect32.exe"
3)修改.reg、.key、.ini和.exe的檔案關聯到病毒檔案:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open
"command"="D4nG3"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\keyfile\shell\open
"command"="D4nG3"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open
"command"="D4nG3"
HKEY_CLASSES_ROOT\.d4ng3
(Default)="exefile"
HKEY_CLASSES_ROOT\.d4ng3\PersistentHandler
(Default)="{098f2470-bae0-11cd-b579-08002b30bfeb}"
4)禁止使用“運行”和“資料夾選項”,並共享系統磁碟。
5)每月的1號、15號、25號該病毒都會嘗試關閉系統,但由於某種原因這個動作並沒有得到實施。
6)向mIRC的腳本配置檔案script.ini中寫入以下內容,使得病毒能通過該系統傳播:
[script]
n0=ON 1:JOIN:#:/dcc send $nick [源病毒路徑]
7)向PIRCH98的腳本配置檔案events.ini中寫入以下內容,使得病毒能通過該系統傳播:
[Levels]
Enabled=1
Count=6
Level1=000-Unknowns
000-UnknownsEnabled=1
Level2=100-Level 100
100-Level 100Enabled=1
Level3=200-Level 200
200-Level 200Enabled=1
Level4=300-Level 300
300-Level 300Enabled=1
Level5=400-Level 400
400-Level 400Enabled=1
Level6=500-Level 500
500-Level 500Enabled=1
[000-Unknowns]
User1=*!*@*
UserCount=1
Event1=ON JOIN:#:/msg $nick Hi there
EventCount=1
[100-Level 100]
User1=*!*@*
UserCount=1
Event1=ON JOIN:#:/dcc send $neck [源病毒路徑]
EventCount=1
[200-Level 200]
UserCount=0
EventCount=0
[300-Level 300]
UserCount=0
EventCount=0
[400-Level 400]
UserCount=0
EventCount=0
[500-Level 500]
UserCount=0
EventCount=0
8)以Microsoft的名義([email protected])給Outlook裡面的郵件回信:
取下面的某一行做為郵件的主題:
Microsoft Updates News
Security Updates News
Service Pack 2 Updates News
System Updates News
Microsoft Operating System Updates News
Microsoft's big security Update News
Update News
Microsoft News
Microsoft Update News Letter
Microsoft Security Updates News
郵件正文:
Service pack 2 is due soon for microsoft users, Bug fixes, internet explorer patches and NEW security features. Please read more from the file attcahed to this microsoft news letter.
取下面的某一行做為郵件附屬檔案名:
Preventivo.doc[若干個空格].pif
Documents.doc[若干個空格].pif
Documento.doc[若干個空格].pif
logo10090.gif[若干個空格].pif
excel_file.doc[若干個空格].pif
9)通過修改註冊表為病毒的運行創造條件:
HKEY_LOCAL_MACHINE\Software
"sshare"="In Progress.."
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Shares
"garbage"="CSCFlags=0"
HKEY_CURRENT_USER\Identities\{10C488D7-43C5-4D55-A9B3-F49C852C64C8}\Software\Microsoft\Outlook Express\5.0\Mail
"Warn on Mapi "=0x0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"DisallowRun"="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
"1"="regedit.exe"
"2"="taskmgr.exe"
"3"="notepad.exe"
"4"="wordpad.exe"
"5"="write.exe"
"6"="wuauclt.exe"
"7"="msconfig.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoFolderOptions"=0x1
"NoWinKeys"=0x1
"NoViewContextMenu"=0x1
"NoClose"=0x1
"NoSetFolders"=0x1
"NoRun"=0x1
"NoFind"=0x1

相關詞條

熱門詞條

聯絡我們