病毒名称:
I-Worm.Blowphish
类别: 蠕虫病毒
病毒资料:
破坏方法:
通过邮件进行传播的蠕虫病毒
病毒采用VB编写。
病毒运行后有以下行为:
一、将自己复制到以下目录中的其中一个:
"C:\Windows\System32"、
"C:\Windows"、
"C:\Windows\Fonts"
文件名为以下字符串的随机组合:
"Windows"、
"System"、
"Registry"、
"Microsoft"、
"Command"、
"Win32"、
"Windows32"、
"MSConfig"、
"MSRAMDrive"、
"Internet"、
"Defrag"、
"Clean"、
"SYS"、
"Statistic"、
"File"、
"DOS"、
"PROMPT"、
"Jimi_Hendrix"、
"Bob_Marley"、
"The_Pixies"、
"The_Doors"、
"REM"、
"DLL"、
"dll"、
"Load"、
"Handle"、
"Scan"、
"Agent"、
"Config"、
"Settings"、
"Driver"、
"_32"、
"monitor"、
"reg"、
"Manager"、
"0"、"1"、"2"、"3"、"4"、"5"、"6"、
"7"、"8"、"9"、"_0"、"_1"、"_2"、"_3"、
"_4"、"_5"、"_6"、"_7"、"_8"、"_9"
文件扩展名有以下可能:
".exe"、
".scr"、
".zip "、
".scr"
".exe"、
".bat" 、
".exe"、
".sys、
".exe"、
".dll"、
".exe"、
".sys"、
".scr"、
".zip.exe"
二、修改注册表以下键值以达到其自启动的目的:
1.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
增加数据项:"bl0wPHISH_boot"
2.
HKEY_CURRENT_USER\Software\Microsoft
\Windows\Currentversion\Run
增加数据项:"bl0wPHISH_boot"
三、搜索包含以下字符串的窗体,并将它们关闭:
"norton"、
"sophos"、
"symantec"、
"trend"、
"blackice"、
"McAfee"、
"kASPersky"、
"panda"、
"solo"、
"zonealarm"、
"sygate"、
"pccillin"、
"pc-cillin"、
"norman"、
"anti"、
"trojan"、
"avg"、
"avx"、
"bitdefender"、
"f-prot"、
"e-safe"、
"f-secure"、
"avast!"、
"etrust"、
"doctor"、
"nod32"、
"virobot"、
"grisoft"、
"protector"、
"Sybari"、
"Antigen"、
"scan"、
"guarder"、
"firewall"、
"fix"
四、构造携带病毒的邮件并发送出去。
邮件标题有以下可能:
"Your Details"
"You Have been Hacked!"
"Your E-Bay Account"
"All Along the WatchTower"
"Mail Delivery Failure : Message returned"
"Mail delivery failed : returning message to sender"
"Mail Send Fail"
邮件附件为病毒文件。
(由于病毒邮件的正文是多个字符串随机组合成的,内容太多无法全部列举)
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-3