分享
 
 
 

Complainant

王朝other·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

病毒名称:

Complainant

类别: 蠕虫病毒

病毒资料:

Complainant(求职信/报怨者)

该病毒基本分为两部分,第一部分是狭义上的病毒,它感染PE结构文件,病毒大小约为3K,用汇编语言编写。第二部分是蠕虫大小为56K,它在运行中会释放并运行一个11722字节的带毒的PE文件。第二部分是用VC++编写的,它只可以在WINDOWS 9X或WINDOWS2000上运行,在NT4上无法运行。

传播:它的传播方式有四种:

第一种:通过INTERNET邮件,它搜索当前用户的地址簿文件中的类邮件地址的文本内容,或随机计算邮件地址,通过WINDOWS的SOCKET函数集用SMTP服务器发送自己这个带毒木马,邮件文件是由木马部分形成,并且该邮件会在Outlook EXPRESS下自动执行,它的主题是随机的,但以下几种情况:

Hi

Hello

How are you?

Can you help me?

We want peace.

Where will you go?

Congratulations!!!

Don't cry.

Look at the pretty.

Some advice on your shortcoming.

Free XXX Pictures.

A free hot porn site.

Why don't reply to me?

How about have dinner with me together?

信的正文为:

I'm sorry to do so,but it's helpless to say sorry.

I want a good job,I must support my parents.

Now you have seen my technical capabilities.

How mUCh my year-salary now? NO more than $5,500.

What do you think of this fact?..Don't call my names,I have no hostility.

Can you help me?

第二种:第二种是通过网络邻居,它搜索所有的网络连接,查找共享目录,将自己的文件放到享目录中,并试图让远程计算机将它作为一个服务启动。

第三种:通过磁盘传播,它创建专门的线程感染磁盘,如果当前日期奇数月的13号,将找到的文件内容进行复制。

第四种:病毒感染。

病毒部分的运行过程:

1.解密后面的代码长度258K字节

2.然后病毒在内存中查找KERNEL32模块,并根据名字的检验字找到一大批函数入口,这些函数供后面的代码调用。

3.申请内存,将所有代码拷贝到申请的内存中,并转申请的内存执行。

4.查检有无调试程序(调IsDebugPresent函数),如在调试程序下运行,终止病毒代码,返回到原宿主程序(如果是配套的木马,则返回到操作系统)。

5.启动感染代码,如未在调试程序下运行,在SYSTEM(由GetSystemDirectory)目录感染或建立WQK.EXE(WIN9X下)或WQK.DLL(NT下)。

6.将当前进程注册为服务进程。

7.创建感染线程,根据系统时间,如果为13号且为3月或9月,感染所有硬盘或网络盘文件。否则感染系统目录。某些条件下创始的感染线程会启动另一个感染线程,直到系统崩溃。

8.如果是NT操作系统,同时感染所有网络邻居。

9.返回宿主或操作系统。

木马部分运行过程:

1.解码所有字符串。

2.改变当前进程访问权限。

3.启动线程1,线程1的作用如下:检查当前所有进程,如果有以下进程(部分匹配),则终止这些进程:

_AVP32,

_AVPCC,

_AVPPM,

ALERTSVC,

AMON,

AVP32,

AVPCC,

AVPM,

N32SCANW,

NAVAPSVC,

NAVAPW32,

NAVLU32,

NAVRUNR,

NAVW32,

NAVWNT,

NDD32,

NPSSVC,

NRESQ32,

NSCHED32,

NSCHEDNT,

NSPLUGIN,

SCAN,SMSS

如果是WINDOWS9X系统,将当前程序设为自启动(Software\Microsoft\Windows\CurrentVersion\Run)

线程永不终止。

4.启动线程2,作用如下:

复制自己,运行后删除,然后线程终止。

5.在系统目录中创建KRNL32.EXE,如果是9X,运行它,并将它放入 Software\Microsoft\Windows\CurrentVersion\Run 中自动运行。

如果是2000系统,将它作为Service启动。

6.创建线程3,发送EMAIL。

创建线程4,感染网络所有共享文件,每8小搜索一次。

创建线程5,搜索磁盘文件。

创建线程6,检查当前日期是否为奇数月的13号,如是,将所有文件复制一次,线程5小运行一次,永不退出。

病毒的清除法:

使用光华反病毒软件,彻底删除。

病毒演示:

病毒FAQ:

Windows下的PE病毒。

发现日期:

2001-11-2

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有