I-Worm/Wallon
病毒长度:36,352 bytes, 150,528 bytes
病毒类型:网络蠕虫
危害等级:**
影响平台:Win9X/2000/XP/NT/Me/2003
I-Worm/Wallon是一个经ASPack压缩的群发邮件蠕虫,发送的邮件信息包含一个下载蠕虫体的超链URL。蠕虫利用IE弱点(MS04-004)显示一个链接,点击链接后便开始下载 "wmplayer.exe"文件到 Windows Media Player 文件夹,再利用Outlook Express的漏洞(MS04-013)下载并执行文件。
传播过程及特征:
1.修改注册表:
/生成下列子键,导致在IE工具栏上添加了五个按钮:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions{FE5A1910-F121-11d2-BE9E-01C04A7936B1}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions{FE5A1910-F121-11d2-BE9E-01C04A7936B2}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions{FE5A1910-F121-11d2-BE9E-01C04A7936B3}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions{FE5A1910-F121-11d2-BE9E-01C04A7936B4}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions{FE5A1910-F121-11d2-BE9E-01C04A7936B5}
且五个按钮同时都指向:http:/ /www.google.com.super-fast-search.apsua.com
/如果键值:"Wh"="Yes"在注册表HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMain下没有发现则进行添加。
2.修改IE默认起始页为:http:/ /www.google.com.super-fast-search.apsua.com/fast-find.htm
修改默认搜索页为:http:/ /www.google.com.super-fast-search.apsua.com/search.htm
3.从特定的网站下载文件并存储到C:Alpha.exe,文件被执行后残体常驻内存。
4.从Windows地址簿下收集邮件地址,并放弃包含下列字符串的地址:
microsoft
support
software
webmaster
postmaster
admin
利用自带的SMTP引擎发送自身到上述地址,邮件特征:
发件人:从注册表HKEY_CURRENT_USERSoftwareMicrosoftInternet Account ManagerAccounts下发现的邮件地址
主题:RE:
正文:包含http://drs.yahoo.com/<域名>/NEWS链接的内容
5.蠕虫可能发送邮件地址列表到 1@600pics.cjb.net。
6.周期性的执行一个定位到http://pixpox.com的cgi脚本文件。
注:%System%为变量,一般为C:WindowsSystem (Windows 95/98/Me),
C:WinntSystem32 (Windows NT/2000), 或
C:WindowsSystem32 (Windows XP)。