病毒名称:
W32.Maldal.J
类别: 特洛伊木马、蠕虫
病毒资料:
这是一个邮件蠕虫病毒,同时也会把用户的击键情况记入日志文件。此病毒运行后,首先会在被感染机器上的Outlook地址簿、MSN Messenger联系人列表以及Html文件中寻找邮件地址,找到后就会向这些地址发送带毒邮件。在病毒邮件体内,有一个指向FixerData.exe文件的Html链接。点击之后,该文件会从某个指定的站点下载并执行Data.exe文件。此文件就是病毒的邮件发送组件。
病毒危害:
1.发送大量带毒邮件:会向Outlook地址簿、MSN Messenger及Html文件中的邮件地址发送大量带毒邮件;
2.修改文件:在被感染机器上会用一个文本文件来覆盖自身;
3.泄露机密信息:会将Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'密码发送给病毒作者;
4.威胁安全设置:会把用户的击键情况记入日志文件,然后发送给病毒作者;
技术特征:
病毒运行后,会出现如下情况;
首先弹出对话框:
并将自身拷贝至%Windows%System目录下,且用一个文本文件覆盖原始文件。该文本文件包含有此病毒的完全路径及文件名称。然后它会追踪打开的窗口并将击键记录存储在%Windows%system.txt文件当中。
比如,若原始的病毒文件名为C:TempTest.exe,它就会相应的生成C:%Windows%SystemTest.exe文件,并且用一个含有字符串"C:TempTest.exe"的文本文件覆盖掉C:TempTest.exe ,而记录击键情况的日志文件便是C:%Windows%SystemTest.txt。
注意:%Windows% 是不定的,病毒首先搜索此文件夹(默认的是C:Windows或 C:Winnt),并将自身拷贝到该文件夹下。随后,该文本文件被发送给病毒作者。
接着,病毒会在Outlook地址簿、MSN Messenger联系人列表以及html文件中寻找邮件地址,找到后就会向这些地址发送带毒邮件。其邮件内容可能如下:
I‘ve got this surprise for you ;)
I know what you need at this **** time.
Have fun and don‘t forget :P YOU KNOW
WHAT I MEAN !
bye
或
Dear User,
McAfee.com has recieved an alert from you.
We believe that you are infected with W32/ZaCker.Trojan@MM. This High Risk virus allows hackers to control your PC.
To clean and protect your PC from the virus :
For more information about the virus :
Sincerely,
McAfee.com
Copyright
2002 McAfee.com Corporation / All Rights Reserved.
此外,它还会将键值
%Windows%system.exe
添加至如下注册表键中:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
这样每次启动Windows时病毒会自动运行。
同时,也会将如下键值
Day
Start 5
Path
Mail 5
加至注册表:
HKEY_LOCAL_MACHINESoftware
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Maldal又有新变种 蠕虫Maldal.J近日现身。
发现日期:
2002-4-3