病毒名称:
I-Worm.Stopin.a
类别: 蠕虫病毒
病毒资料:
破坏方法:
通过邮件进行传播的蠕虫病毒
病毒采用Borland C++编写,UPX v1.20压缩。
病毒运行后有以下行为:
一、将自己复制到%WINDIR%目录下,文件名为"MSKERN32.EXE"。
二、修改注册表以下键值,以达到其自启动的目的:
1.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
增加数据项:"MS Kernel32"
数据值为:"%WINDIR%\MSKERN32.EXE"
三、弹出包含以下字符串的对话框,用于欺谝用户使用户以为病毒文件是一个无法运行的文件。
对话框中的信息有可能为以下字符串:
1."This file is not a Win32 file valid"
2."Cannot Open files : It does not appear to be a valid Win32 If you downloaded the file, try downloading again."
3."Error with Kernel32 : This program will be terminated."
4."Loader Error : This program will be terminated."
四、查看当前系统所运行的进程中是否包含有进程名为"NAVAPW32.EXE"、"PAVSCHED.EXE"的进程,如果有则将它们结束。
五、发送携带病毒的邮件。
邮件标题有以下几种可能:
"New Game for You."、
"Protect your computer against VBS/Worm and
VBS/Virus"、
"Free Flash Application !"、
"Internet EXPlorer 5.0/6.0 Patch"、
"Try WinXP."、
"Free Chat"
邮件正文有以下可能:
"Hi, Take a look at this new game found on the web."、
"This tool allows you to protect your computer against the VBS worm/virus."、
"Hi, Very good application make with Flash 5."、
"There is the last patch for Internet Explorer against the
ActiveX's bugs."、
"Run this small program to see a demo of Win XP."、
"Hello,
Very cool program to chat on the net."
邮件附件的文件名可能为:
"New_Game.exe"、
"Fix_VBSWormVirus.exe"、
"Flash_EXE.exe"、
"IEPatch.exe""Demo_WinXP.exe"、
"FreeChat.exe"
六、检查当前系统时间,如果时间为12月1日,病毒将生成一个HTM文件显示以下内容:
Win32.HLLW.Last is in your computer
This my last worm
Greetz to : all3gro, Benny, Bumblebee, Mandragore, ZeMacroKiller98, the 29A
group and the [MATRiX] group.
GOOD BYE
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-12-28