病毒名称:
Worm.Stator.a
类别: 蠕虫病毒
病毒资料:
破坏方法:
此病毒是一个网络蠕虫病毒,他通过感染E-mail文件进行传播,此病毒只能在安装了 TheBat! 邮件客户端的计算机上传播.此病毒从受害计算机中的 TheBat! 数据库中得到邮件地址,然后将他自己从染毒机器上发送出去,此病毒使用SMTP协议,并且连接到smtp.mail.ru 邮件服务器上.邮件的标题和正文都是俄语,附件是一个win32下的可执行文件 (PE) 文件名为"photo1.jpg.pif"。
邮件正文翻译成中文大致如下:
你好!
你的地址是我的一个普通朋友给我的(第一个地址是他的意思)
我是一个互联网的新手,而且刚刚得到邮箱!
所以这是我第一次写E-mail!!!
他说如果我有问题可以向你请教...
我不但可爱而且还聪明伶俐,友善.
(可以看照片)
我正在期待着你的回信!!!
写信给我,告诉我一点关于你自己的情况和你想了解我那些。
再见!再见!
:)))))))))
Sveta Kovaleva
此病毒还会将自己拷贝到系统目录并感染少数几个系统文件,还会将密码,和其他的保密信息发送到计算机外面。为了掩饰它的行为,此病毒启动后会显示一幅女孩的照片。
感染文件:
病毒启动后此病毒通过几个方法将自己安装到系统. 首先此病毒感染windows下的目录下的五个文件,
MPLAYER.EXE,
WINHL,P32.EXE,
NOTEPAD.EXE,
CONTROL.EXE,
SCANREGW.EXE,蠕虫将被感染的原始文件的扩展名改为.VXD,然后此病毒将自己拷替换成被感染文件.此病毒将自己的几个副本 SCANREGW_EXE 和 LOADPE.COM 安装到系统目录,IFNHLP.SYS 安装到windows目录,然后通过将LOADPE.COM 注册成自启动的文件:
HKCR\exefile\shell\open\command = LOADPE.COM 这样当一个exe文件被启动时,此病毒的副本也被启动,并用同样的方法感染一个文件. 在windows目录下的SCANREGW.EXE文件(病毒的副本)也会被利用注册表注册成自启动的文件:
HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServices ScanRegistry
= %SystemDir%\scanregw.exe。
发送数据:
病毒从染毒机器发送以下的数据到外面:
远程访问的密码和用户名,局域网访问的用户名和密码
BCSoft NetLaunch, PySoft AutoConnect 和 CureFTP 信息 (如果染毒计算机安装了这些软件)
Netscape, TheBat! system parameters (如果染毒计算机安装了这些软件)
List of FAR ftp servers (如果染毒计算机安装了这些软件)
FIDO TMail passWords (如果染毒计算机安装了这些软件)。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-2-20
