Complainant

病毒名称:

Complainant

类别： 蠕虫病毒

病毒资料：

Complainant（求职信/报怨者）

该病毒基本分为两部分，第一部分是狭义上的病毒，它感染PE结构文件，病毒大小约为3K，用汇编语言编写。第二部分是蠕虫大小为56K，它在运行中会释放并运行一个11722字节的带毒的PE文件。第二部分是用VC++编写的，它只可以在WINDOWS 9X或WINDOWS2000上运行，在NT4上无法运行。

传播：它的传播方式有四种：

第一种：通过INTERNET邮件，它搜索当前用户的地址簿文件中的类邮件地址的文本内容，或随机计算邮件地址，通过WINDOWS的SOCKET函数集用SMTP服务器发送自己这个带毒木马，邮件文件是由木马部分形成，并且该邮件会在Outlook EXPRESS下自动执行，它的主题是随机的，但以下几种情况：

Hi

Hello

How are you?

Can you help me?

We want peace.

Where will you go?

Congratulations!!!

Don't cry.

Look at the pretty.

Some advice on your shortcoming.

Free XXX Pictures.

A free hot porn site.

Why don't reply to me?

How about have dinner with me together?

信的正文为：

I'm sorry to do so,but it's helpless to say sorry.

I want a good job,I must support my parents.

Now you have seen my technical capabilities.

How mUCh my year-salary now? NO more than $5,500.

What do you think of this fact?..Don't call my names,I have no hostility.

Can you help me?

第二种：第二种是通过网络邻居，它搜索所有的网络连接，查找共享目录，将自己的文件放到享目录中，并试图让远程计算机将它作为一个服务启动。

第三种：通过磁盘传播，它创建专门的线程感染磁盘，如果当前日期奇数月的13号，将找到的文件内容进行复制。

第四种：病毒感染。

病毒部分的运行过程：

1.解密后面的代码长度258K字节

2.然后病毒在内存中查找KERNEL32模块，并根据名字的检验字找到一大批函数入口，这些函数供后面的代码调用。

3.申请内存，将所有代码拷贝到申请的内存中，并转申请的内存执行。

4.查检有无调试程序（调IsDebugPresent函数），如在调试程序下运行，终止病毒代码，返回到原宿主程序（如果是配套的木马，则返回到操作系统）。

5.启动感染代码，如未在调试程序下运行，在SYSTEM（由GetSystemDirectory）目录感染或建立WQK.EXE(WIN9X下)或WQK.DLL(NT下)。

6.将当前进程注册为服务进程。

7.创建感染线程，根据系统时间，如果为13号且为3月或9月，感染所有硬盘或网络盘文件。否则感染系统目录。某些条件下创始的感染线程会启动另一个感染线程，直到系统崩溃。

8.如果是NT操作系统，同时感染所有网络邻居。

9.返回宿主或操作系统。

木马部分运行过程：

1.解码所有字符串。

2.改变当前进程访问权限。

3.启动线程1，线程1的作用如下：检查当前所有进程，如果有以下进程（部分匹配），则终止这些进程：

_AVP32,

_AVPCC,

_AVPPM,

ALERTSVC,

AMON,

AVP32,

AVPCC,

AVPM,

N32SCANW,

NAVAPSVC,

NAVAPW32,

NAVLU32,

NAVRUNR,

NAVW32,

NAVWNT,

NDD32,

NPSSVC,

NRESQ32,

NSCHED32,

NSCHEDNT,

NSPLUGIN,

SCAN,SMSS

如果是WINDOWS9X系统，将当前程序设为自启动（Software\Microsoft\Windows\CurrentVersion\Run）

线程永不终止。

4.启动线程2，作用如下：

复制自己，运行后删除，然后线程终止。

5.在系统目录中创建KRNL32.EXE，如果是9X，运行它，并将它放入 Software\Microsoft\Windows\CurrentVersion\Run 中自动运行。

如果是2000系统，将它作为Service启动。

6.创建线程3，发送EMAIL。

创建线程4，感染网络所有共享文件，每8小搜索一次。

创建线程5，搜索磁盘文件。

创建线程6，检查当前日期是否为奇数月的13号，如是，将所有文件复制一次，线程5小运行一次，永不退出。

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2001-11-2

• ·Worm.P2P.VB.bc
• ·Worm.Relphot
• ·Worm.Win32.Anker.a
• ·Worm.Win32.Buchon.e
• ·P2P-Worm.Win32.Darby.q
• ·Win32.RedAlert
• ·Harm.regwi2.2
• ·Worm.Zoher
• ·I-Worm.Petik.generic
• ·Worm.Nimda2.ColdWorld