病毒名称:蠕虫病毒Win32.Subaso Family
其它名称:
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:中
具体介绍:
病毒特性
Win32/Subaso是一族通过即时消息传播的蠕虫。
感染方式
运行时,Win32/Subaso 在%Windows% 和 %System%目录中生成4个副本。不同的变体使用不同的文件名,以下是一些变体使用的文件名:
Antivirus32.exe
Avconsol.exe
Hide32.exe
ZaZ.exe
Zap.exe
Ttt.exe
Diup.exe
随后蠕虫修改以下注册表,为了在每次系统启动时运行病毒:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunAVantivirus = "<worm executable>"
HKCUSoftwareMicrosoftWindowsCurrentVersionRunWinService = "<worm executable>"
HKCUSoftwareMicrosoftWindowsCurrentVersionRunServicewin = "<worm executable>"
HKCUSoftwareMicrosoftWindowsCurrentVersionRunSystem = "<worm executable>"
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
传播方式
通过即时消息传播
为了能够传播,Win32/Subaso首先尝试从不同的站点下载几个文件。这些文件包括为蠕虫发送信息配置的信息,例如信息内容和下载蠕虫副本的链接。以下是各个变体下载的文件名:
1.txt
2.txt
3.txt
4.txt
5.txt
jif.txt
当这些文件被下载时,可能使用以下文件名保存到本地机器:
SysUpdate.txt
MSysUpdate.txt
USysUpdate.txt
ConSysUpdate.txt
Update.txt
WinUp.txt
SysArc.exe
以下是蠕虫发送即时消息的一个例子:
mira esta animacion de bush :P
其中还包含一个链接,链接到一个蠕虫副本:
http://<host >/Bush-gracioso.exe
危害
下载其它恶意程序
Subaso下载很多文件到被感染机器上。一些文件包含信息内容,蠕虫将用来发送蠕虫副本的下载链接,蠕虫还可能下载Win32/AdClicker变体。
清除:
KILL安全胄甲最新版本可检测/清除此病毒。