病毒名称:
Worm.Avron.b
类别: 蠕虫病毒
病毒资料:
破坏方法:
此病毒感染安装有 Windows 95, Windows 98, Windows Me操作系统的计算机,发作日期为7、11、24日。当病毒启动后,如果发现自己已经驻留系统中,则退出;否则,开辟七个线程,进行疯狂的破坏。但是普通用户却感觉不到。
破坏行径如下:
一、立即杀死下列112个进程(按照病毒搜索顺序排列):
KPF.EXE
KPFW32.EXE
_AVPM.EXE
AUTODOWN.EXE
AVKSERV.EXE
AVPUPD.EXE
BLACKD.EXE
CFIND.EXE
CLEANER.EXE
ECENGINE.EXE
F-PROT.EXE
FP-WIN.EXE
IAMSERV.EXE
ICLOADNT.EXE
IFACE.EXE
LOOKOUT.EXE
N32SCAN.EXE
NAVW32.EXE
NORMIST.EXE
PADMIN.EXE
PCCWIN98.EXE
RAV7WIN.EXE
SCAN95.EXE
SMC.EXE
TCA.EXE
VETTRAY.EXE
VSSTAT.EXE
ACKWIN32.EXE
AVCONSOL.EXE
AVPNT.EXE
AVPDOS32.EXE
AVSCHED32.EXE
BLACKICE.EXE
EFINET32.EXE
CLEANER3.EXE
ESAFE.EXE
F-PROT95.EXE
FPROT.EXE
IBMASN.EXE
ICMOON.EXE
IOMON98.EXE
LUALL.EXE
NAVAPW32.EXE
NAVWNT.EXE
NUPGRADE.EXE
PAVCL.EXE
PCFWALLICON.EXE
RESCUE.EXE
SCANPM.EXE
SPHINX.EXE
TDS2-98.EXE
VSSCAN40.EXE
WEBSCANX.EXE
WEBSCAN.EXE
ANTI-TROJAN.EXE
AVE32.EXE
AVP.EXE
AVPM.EXE
AVWIN95.EXE
CFIADMIN.EXE
CLAW95.EXE
DVP95.EXE
ESPWATCH.EXE
F-STOPW.EXE
FRW.EXE
IBMAVSP.EXE
ICSUPP95.EXE
JED.EXE
MOOLIVE.EXE
NAVLU32.EXE
NISUM.EXE
NVC95.EXE
NAVSCHED.EXE
PERSFW.EXE
SAFEWEB.EXE
SCRSCAN.EXE
SWEEP95.EXE
TDS2-NT.EXE
VSECOMR.EXE
WFINDV32.EXE
AVPCC.EXE
_AVPCC.EXE
APVXDWIN.EXE
AVGCTRL.EXE
_AVP32.EXE
AVPTC32.EXE
AVWUPD32.EXE
CFIAUDIT.EXE
CLAW95CT.EXE
DV95_O.EXE
DV95.EXE
F-AGNT95.EXE
FINDVIRU.EXE
IAMAPP.EXE
ICLOAD95.EXE
ICssUPPNT.EXE
LOCKDOWN2000.EXE
MPFTRAY.EXE
NAVNT.EXE
NMAIN.EXE
OUTPOST.EXE
NAVW.EXE
RAV7.EXE
SCAN32.EXE
SERV95.EXE
TBSCAN.EXE
VET95.EXE
VSHWIN32.EXE
ZONEALARM.EXE
AVPMON.EXE
AVP32.EXE
二、修改注册表:
1.创建新键 :HKLM\Software\OvG\Avril Lavigne 设置值为"Done",标志为已经感染系统;
2.登记为开机自启动 :
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run\Avril Lavigne - Muse,
值为"%SYSTEM%\.EXE",即病毒本身。
三、驻留文件系统
将自己隐藏到下列目录,从0-9和A-F中拼凑出随机字符串作为文件名称。
1.%Temporary%\.tft
2.%System%\.exe
3.%所有磁盘%\Recycled\.exe
4.%当前局域网连接的可写目录%.exe。
可选文件名如下:
Resume.exe
Download.exe
Readme.exe
Singles.exe
Sophos.exe
Sk8erBoi.exe
5.%TEMP%\.TFT
6.%TEMP%\AVRIL-II.INF
7.释放一个script.ini文件,利用IRC来发送病毒。
四、遍历所有的窗口,如果窗口标题中包含下列字符串,立即杀掉相应进程。
Anti 、
AVP、
McAfee、
Norton、
virus、
anti、
Virus。
五、连接网络
如果用户没有连接Internet,病毒试图从注册表的Software\Microsoft\Internet Account Manager\Accounts\Default Mail Account中取得账户和密码,调用系统服务InternetAutodial偷偷登陆网络。
六、发染毒邮件
病毒不仅枚举注册表中的地址薄和邮件服务器,而且还有枚举下列磁盘文件:
.htm、
.tbb、
.sHtml、
.nch、
.idx、
.dbx、
.mbx、
.wab、
.html
.eml,
病毒会分析这些文件的内容,提取邮件地址和服务器,发送染毒邮件。
1.标题是下列之一:
Fw: Prohibited customers...
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne - the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
2.附件名称是下列之一,其实是病毒自己:
Resume.exe
Download.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
Singles.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe
3.邮件利用Outlook的IFrame漏洞,使附件自动运行, 瞬间感染系统。
4.病毒自带邮件服务器地址:
otto_aw@smtp.ru
otto_avril_ii@smtp.ru
otto_avril@smtp.ru
七、病毒利用QQ传输协议传送病毒体。病毒搜索标题中包含“Send Online File”的窗口。该窗口一般是QQ用来远程传递文件的。病毒把自己的拷贝Resume.exe发送出去。
八、典型发作日期是每月的7、11、24日,用各种颜色在桌面画嵌套的椭圆,在左上角显示一行白底黑字:
“AVRIL_LAVIGNE_LET_GO-my muse:Vote for Iam with you”,并连接网站:www.avril-lavigne.com。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-1-10
