病毒名称:
Complainant
类别: 蠕虫病毒
病毒资料:
Complainant(求职信/报怨者)
该病毒基本分为两部分,第一部分是狭义上的病毒,它感染PE结构文件,病毒大小约为3K,用汇编语言编写。第二部分是蠕虫大小为56K,它在运行中会释放并运行一个11722字节的带毒的PE文件。第二部分是用VC++编写的,它只可以在WINDOWS 9X或WINDOWS2000上运行,在NT4上无法运行。
传播:它的传播方式有四种:
第一种:通过INTERNET邮件,它搜索当前用户的地址簿文件中的类邮件地址的文本内容,或随机计算邮件地址,通过WINDOWS的SOCKET函数集用SMTP服务器发送自己这个带毒木马,邮件文件是由木马部分形成,并且该邮件会在Outlook EXPRESS下自动执行,它的主题是随机的,但以下几种情况:
Hi
Hello
How are you?
Can you help me?
We want peace.
Where will you go?
Congratulations!!!
Don't cry.
Look at the pretty.
Some advice on your shortcoming.
Free XXX Pictures.
A free hot porn site.
Why don't reply to me?
How about have dinner with me together?
信的正文为:
I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How mUCh my year-salary now? NO more than $5,500.
What do you think of this fact?..Don't call my names,I have no hostility.
Can you help me?
第二种:第二种是通过网络邻居,它搜索所有的网络连接,查找共享目录,将自己的文件放到享目录中,并试图让远程计算机将它作为一个服务启动。
第三种:通过磁盘传播,它创建专门的线程感染磁盘,如果当前日期奇数月的13号,将找到的文件内容进行复制。
第四种:病毒感染。
病毒部分的运行过程:
1.解密后面的代码长度258K字节
2.然后病毒在内存中查找KERNEL32模块,并根据名字的检验字找到一大批函数入口,这些函数供后面的代码调用。
3.申请内存,将所有代码拷贝到申请的内存中,并转申请的内存执行。
4.查检有无调试程序(调IsDebugPresent函数),如在调试程序下运行,终止病毒代码,返回到原宿主程序(如果是配套的木马,则返回到操作系统)。
5.启动感染代码,如未在调试程序下运行,在SYSTEM(由GetSystemDirectory)目录感染或建立WQK.EXE(WIN9X下)或WQK.DLL(NT下)。
6.将当前进程注册为服务进程。
7.创建感染线程,根据系统时间,如果为13号且为3月或9月,感染所有硬盘或网络盘文件。否则感染系统目录。某些条件下创始的感染线程会启动另一个感染线程,直到系统崩溃。
8.如果是NT操作系统,同时感染所有网络邻居。
9.返回宿主或操作系统。
木马部分运行过程:
1.解码所有字符串。
2.改变当前进程访问权限。
3.启动线程1,线程1的作用如下:检查当前所有进程,如果有以下进程(部分匹配),则终止这些进程:
_AVP32,
_AVPCC,
_AVPPM,
ALERTSVC,
AMON,
AVP32,
AVPCC,
AVPM,
N32SCANW,
NAVAPSVC,
NAVAPW32,
NAVLU32,
NAVRUNR,
NAVW32,
NAVWNT,
NDD32,
NPSSVC,
NRESQ32,
NSCHED32,
NSCHEDNT,
NSPLUGIN,
SCAN,SMSS
如果是WINDOWS9X系统,将当前程序设为自启动(Software\Microsoft\Windows\CurrentVersion\Run)
线程永不终止。
4.启动线程2,作用如下:
复制自己,运行后删除,然后线程终止。
5.在系统目录中创建KRNL32.EXE,如果是9X,运行它,并将它放入 Software\Microsoft\Windows\CurrentVersion\Run 中自动运行。
如果是2000系统,将它作为Service启动。
6.创建线程3,发送EMAIL。
创建线程4,感染网络所有共享文件,每8小搜索一次。
创建线程5,搜索磁盘文件。
创建线程6,检查当前日期是否为奇数月的13号,如是,将所有文件复制一次,线程5小运行一次,永不退出。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2001-11-2