病毒名称:WIN95.Zippedfiles
别名:Worm.Explore.Zip ,TROJ_EXPLOREZIP, W32/ExploreZip.worm@M
病毒特点:
WIN95.Zippedfiles 是一种通过Internet传播的蠕虫病毒。它以文件的形式附在Email中,文件名为“Zipped_Files.Exe”。这是一个Delphi可执行文件,文件长约210KB。这个文件代码的大部分是Delphi的实时库、数据和类,大约10KB的文件代码是“纯”蠕虫病毒代码。
病毒自身被执行后进入系统,在当前邮件收件箱中寻找邮件地址,然后将自身复制,以邮件附件的形式随邮件信息发送到已找到的邮件地址: Hi <Name of Recipient>!, I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs. Bye 用户收到如上好像回复信息的邮件,用户名在首列,邮件主题是随机的,但是通常邮件主题是以前发送的email主题。附件使用Winzip图标显示。 病毒进入系统(在Windows95/98或NT的32位操作系统中)运行后,生成SETUP.EXE文件(在Windows目录)和EXPLORE.EXE文件(在WINDOWSSYSTEM目录),例如: C:WINDOWS\_SETUP.EXE C:WINDOWSSYSTEMEXPLORE.EXE 以上操作是在用户全然不知的情况下进行的,接着弹出一个消息窗,声明ZIP自解压文件被终止, " Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help." 病毒在Win.ini文件中添加如下命令行: 在Windows 9x中: run=C:WINDOWSSYSTEMExplore.exe 在Windows NT中: “run”=”C:\WINNT\System32\Explore.exe” 添加常驻启动键(如下): HKEY_CURRENT_USERSoftware 蠕虫驻留内存,它一旦被激活,系统即关闭死机。蠕虫的任务不在活动窗口,也不会在任务栏中看到它,但是可在任务列表(Ctrl-Alt-Del)中看到它使用的文件副本的名字: Zipped_files Explore _setup 蠕虫不检查其自身是否已在Windows系统内存中复制,所以,可能会在内存中找到多个蠕虫的入口。当系统应用进行时,蠕虫的主程序分4个线程运行:安装线程枣蠕虫文件拷贝到Windows目录并驻留,Internet传播线程和两个文件被破坏线程。 其中,第二个(最重要的)线程枣使用各种基于标准MAPI的邮件系统发送EMAIL信息,这些邮件系统包括MS Outlook,MS Outlook Express等。蠕虫使用不同的MAPI分4次尝试登录已安装EMAIL的系统:缺省的、MS Outlook、MS Outlook Internet Settings、MS Exchange。与EMAIL连接后,蠕虫监视所有到达的消息--蠕虫无限次循环扫描收件箱信息并回复它们,回复信息使用邮件的同一主题,邮件的消息内容同上。 蠕虫不能回复同一邮件信息两次,也不能回复自身的信息。对已感染病毒的邮件,蠕虫在邮件主题(Subject)字串的结尾添加TAB字符作为标记。每次病毒扫描收件箱的邮件信息,得到主题域(Subject),如果在结尾找到TAB,就跳过此消息。蠕虫病毒除了在收件箱中未读取的消息以外不能回复在收件箱中的其它信息。 请注意蠕虫病毒传染过程中的两个状态--只回复未读信息和不回复同一信息两次,这是非常重要的。在已知的蠕虫病毒版本中都是如此,但是在下一个蠕虫病毒版本中蠕虫传染的线程得到控制,可能每次都会回复收件箱中的所有消息。 结果,事情仿佛如下所示:当蠕虫病毒第一次在电脑中运行,它利用在收件箱中找到的所有未读的消息发送染毒信息。它将TAB字符标记在带毒消息中,且不再感染它们。当从Internet接收到一个新消息并在收件箱中显示出来,蠕虫病毒立刻发送以上所列的正文“回答”。 此病毒具有非常大的危害性。每次被执行,它运行两个多线程扫描本地和网络驱动器的目录树,寻找.C,.H,.CPP,.ASM,.DOC,.XLS,.PPT并将它们清零。蠕虫病毒使用“生成-关闭”(creat-and-close)手段删除文件正文并置文件长度为零,结果文件变得不可恢复的。
