Worm.Torvil.d

Worm.Torvil.d是一種蠕蟲病毒。該蠕蟲通過它自帶的SMTP引擎傳送帶毒郵件,郵件中的HTML代碼還利用"incorrect MIME type"漏洞來入侵系統。

基本介紹

  • 中文名:Worm.Torvil.d
  • 威脅級別:★★
  • 中文名稱:托弗
  • 病毒類型:蠕蟲
  • 影響系統:Win9x/Win2000/WinXP
病毒介紹,傳染條件,

病毒介紹

病毒別名:I-Worm.Torvil.d[Kaspersky] W32.HLLW.Torvil@mm[Symantec] Worm.Torvil.d[瑞星]

傳染條件

:
A、
可能被感染的郵件主題:
congratulations!
darling
Do not release, its the internal rls!
Documents
Pr0n!
Undeliverable mail--
Returned mail--
here?s a nice Picture
New Internal Rls...
here?s the document
here?s the document you requested
here?s the archive you requested
郵件主題還會使用“答覆發件人”的方法傳送
可能的附屬檔案名稱:
yourwin.bat
probsolv.doc.pif
flt-xb5.rar.pif
document.doc.pif
sexinthecity.scr
torvil.pif
win$hitrulez.pif
sexy.jpg
flt-ixb23.zip
readit.doc.pif
document1.doc.pif
attachment.zip
message.zip
Q723523_W9X_WXP_x86_EN.exe
B、還利用KaZaA點對點軟體的已分享檔案和IRC來傳播,病毒在利用KaZaA工具時會拷貝自身到該工具的已分享檔案夾中;
C、使用弱密碼探測區域網路中的其它電腦系統,成功後會拷貝一個名為Remainder.exe的檔案到被破解的電腦系統。
發作條件:
系統修改:
A、複製自身到WINDOWS安裝目錄
%Windir%schost.exe
B、使用隨機檔案名稱複製自身到WINDOWS安裝目錄
%Windir%spool<隨機字元串>.exe
%Windir%SMSS<隨機字元串>.exe
C、會在C糟根目錄生成檔案Torvil.log;
D、添加鍵值
"Service Host"="%Windir%.exe"
到註冊表中
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
以便病毒可隨機自啟動
E、病毒在註冊表中創建下面的鍵值來儲存它自己的配置信息:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedOneLevelDeeperTorvilDB
它給下面這個鍵賦值"TORVIL",並以此來儲存它的副本的檔案名稱:
TORVIL="spoolhv.exe"
F、在Windows NT/2K/XP中,下面的鍵值也會被修改:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell = "Explorer.exe spoolhv.exe"
此外,在Windows 9x系統中,WIN.INI的運行關鍵字被改為%Windowsspoolhv.exe,:
[windows]
run=%Windows%spoolhv.exe
(注意:"spoolhv.exe"只是對病毒生成的檔案的一個舉例,它真實的名字可能是"spool??.exe"或SMSS??.exe"。)
G、它還會修改與exe、com、pif、scr、cmd、bat的關聯,當運行這些檔案時會先運行病毒
HKEY_CLASSES_ROOTatfileShellopencommand(默認) = "%Windows%svchost.exe "%1" %*"
HKEY_CLASSES_ROOTcmdfileShellopencommand(默認) = "%Windows%svchost.exe "%1" %*"
HKEY_CLASSES_ROOTcomfileShellopencommand(默認) = "%Windows%svchost.exe "%1" %*"
HKEY_CLASSES_ROOTexefileShellopencommand(默認) = "%Windows%svchost.exe "%1" %*"
HKEY_CLASSES_ROOTpiffileShellopencommand(默認) = "%Windows%svchost.exe "%1" %*"
HKEY_CLASSES_ROOTscrfileShellopencommand(默認) = "%Windows%svchost.exe "%1" /S"
H、病毒通過修改下面鍵值來禁止用戶進入註冊表編輯器
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools = 0x1
發作現象:
A、病毒運行時會顯示以下對話框;
(圖1)
B、中止知名防毒軟體的進程和個人網路防火牆進程;
特別說明:

熱門詞條

聯絡我們