2006年3月8日瑞星全球反病毒监测网截获一个利用hotmail发送带毒邮件的病毒,并命名为“hotmail蠕虫(Worm.Hotmatom)”。“这是全球第一个专门针对Hotmail编写的蠕虫病毒,当用户登陆到MSN Hotmail发送邮件的时候,会被偷偷插入带毒链接,收信人点击后就可能中毒。”瑞星反病毒专家说,感染该病毒的计算机会在局域网中发送垃圾消息,并且在3月20日自动关机。
根据瑞星技术部门分析,病毒感染计算机后,会把自己复制到“windows”目录下,病毒文件名为“dho.exe”。病毒会修改注册表,每次打开计算机后都自动运行,然后在后台监视用户的IE浏览器。当用户登陆到MSN Hotmail发送邮件时,病毒会在发送的邮件后插入病毒文字和链接:“Hi, Happy San Valentin Day Download you Postcards from http://***.miarroba.com(情人节到了,去**网站下载贺卡吧)”,用户点击该链接后就会中毒。
瑞星反病毒专家介绍说,该病毒呈现出两大特征:第一,专门针对hotmail编写,并且针对通过网络登陆的hotmail用户,如果用户通过OE等客户端发信,受影响就会比较小。第二,它只在用户主动向外发送Hotmail信件时才会插入病毒连接,由于收件人往往是发送者的朋友和熟人,他们对熟人发来的信件往往没什么戒心,这样就会被病毒所利用,点击链接后就可能中毒。
破坏方法:采用VB编写的
通过HOTMAIL传播的蠕虫
病毒特性:
该蠕虫运行后有以下行为:
一、复制自身
将自己复制为c:filedebug.exe,c:~str.txt.exe,
C:WINDOWScursoresdho.exe。
2、给网络中的其他计算机发送消息
如果当前日期不是2006/3/20,则利用"net send"命令向局域网中的所有计算机发送“Se ha detectado un virus muy peligroso en la red, descarge gratis el
parche de esta pagina www.antivirusparcheatom.miarroba.com”的消息。
3、自动关机
如果当前日期是2006/3/20,则运行C:windowssystem32win_nt.bat并使用
“shutdown -s -t 60 -f”命令关机。
4、修改注册表实现开机运行以及禁止任务管理器等功能
在hkcusoftwaremicrosoftwindowscurrentversion
un下增加数据项[atomix],值为C:WINDOWScursoresdho.exe,以实现开机启动。
在hkcusoftwaremicrosoftwindowscurrentversionpolicies
system下增加数据项[disabletaskmgr],值为1,以禁止任务管理器的使用。
蠕虫还可能删除hklmsoftwaremicrosoft和hklmhardware这两个键。
5、搜索窗口,主动终止一些应用程序
搜索标题为“Administrador de tareas de Windows”、“Panel de control”、“Editor del Registro”、“Utilidad de configuraci”、
“Restaurar sistema”等的窗体,并且主动关闭它们。?
6、搜索标题栏有MSN Hotmail字眼的IE窗口,并模拟键盘输入邮件内容
搜索标题为“MSN Hotmail - Nuevo mensaje - Microsoft Internet Explorer”、
“MSN Hotmail - Responder - Microsoft Internet Explorer”、
“MSN Hotmail - New message - Microsoft Internet Explorer”的IE窗口,
并在当前编辑的邮件内容中加入以下信息:
“Hola, feliz dia de san valentin te hice una postal, descargala de aqui
http://romanticsletters.miarroba.com”、“Hi, Happy San Valentin Day Download
you Postcards from http://romanticsletters.miarroba.com”、“i want show you something, www.romanticsletters.miarroba.com”、“oye hasme un favor sip porfa, esque hice una postal
para alguien pero quiero ver si se ve,
ayudame, de aqui la descargas, yo la puedo ver pero puess
quiero ver si se ve en otro lado,
www.romanticsletters.miarroba.com ,me dices ok?”
点击邮件中的超连接可能会感染该蠕虫。
解决方案:
针对“hotmail蠕虫”恶性病毒,及时升级杀毒软件的病毒库可以彻底查杀此病毒。
