病毒别名: 处理时间:2006-12-25 威胁级别:★
中文名称:恶鹰 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个会通过邮件发送自己的蠕虫病毒,它还能通过驱动隐藏自己在系统中的信息,
使用户无法察觉病毒的存在。
1:拷贝文件
C:Documents and SettingsfishApplication Datahidnhldrrr.exe
C:Documents and SettingsfishApplication Datahidnhidn2.exe
释放驱动
C:Documents and SettingsfishApplication Datahidnm_hook.sys
2:显示信息
病毒完成自拷贝后,会在C盘根目录下创建一个error.txt的文档,
里面写入"UTF-8 decoding error."的信息,之后会用记事本打开该文档,
再加上病毒本身的图标是一个记事本文档的图标,使用户误以为是打开了
格式错误的txt文档.
3:添加自启动项
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
drv_st_key -> C:Documents and SettingsfishApplication Datahidnhidn2.exe
使病毒能自启动
3:驱动隐藏
病毒使用了系统级的HOOK,更改特定几个函数的地址,使其指向自己的驱动文件
实现隐藏自己所有的信息的目的,使病毒无法被找到
被HOOK的函数如下:
NtCreateFile
NtEnumeraterKey
NtEnumerateValueKey
NtQueryDirectoryFile
NtQueryKey
NtQuerySystemInformation
4:发邮件
病毒会枚举OutLook地址本中的所有地址,并往地址上发送附带了自己本体的邮件
邮件标题为price_new, price_ , price, new ,price 的随机组合
邮件内容为
It is Protected
thank you !!!
New year (日期) 's discounts
病毒还会在信里面附加一个网址,地址为
http://ujscie.***.pl/999.gif
http://1point2.***.nl/999.gif
http://apro***.com/999.gif
......(还有很多,病毒随机选一个添加)
这些地址都已经失效,很有可能是病毒的其它版本的下载地址.
之后病毒会使用网上的邮件发送引擎发送邮件,发送引擎如下:
http://vera********.com/1/eml.php
http://www.titan******.com/images/1/eml.php
http://yong*****.co.kr/1/eml.php
......
把自己加入邮件的附件中,发送到Outlook地址部上的所有地址
不发送到ser******@gmail.com