病毒名称:
Worm.Swen
类别: 蠕虫病毒
病毒资料:
破坏方法:
一个蠕虫病毒,该病毒用Microsoft Visual C++ 编写。该病毒伪装成一个微软升级包。当病毒被运行后将显示成一个带有进度的安装信息,非常具有伪装性让用户以为真的是一个升级安装程序。
注:(病毒在第一次运行后将在注册表中加入自己的标记信息,以后病毒被运行后,病毒以此判断是否已经将自己“安装”过。并显示"this update does not need to be installed on this system" 的信息欺骗用户。
病毒一被运行后,将自己复制到windows目录文件名随机,并在注册表run项中加入自己的键值。
(病毒被运行后,每进行一次传播将连到病毒作者的一个网站一次,作者以此得到病毒传播范围的信息)
修改注册表:
病毒将把
Software\Microsoft\Windows\CurrentVersion
\Policies\System\DisableRegistryTools
置1 (不让用户使用注册表编辑工具)
病毒修改
BAT
COM
EXE
PIF
REG
SCR
的文件关联,当用户在病毒运行时尝试运行这些文件时病毒将
提示
Memory Access Violation in module kernel32 at ????:???????? (随机)
该病毒,在显自己自己为“升级”过程中时,实际上在搜所磁盘*.mbx,*.ASP,*.ht*,*.dbx,*.wab,*.eml,中的所有的email地址,并把这些地址记下%windir%germs0.dbv文件中。
病毒从注册表中读取邮件服务器的地址,并利用germs0.dbv中搜到的email地址进行邮件传播。
邮件的发件人:Email Delivery Service (kmailengine@yahoo.com)
邮件的标题为:"Returned Response"
邮件内容为:
"Undeliverable mail to (目标邮件地址 )"
附件为随机名的病毒复本(被zip或rar压缩的)
病毒还会显示一个假的mapi错误信息以骗取用户的基本信息。
局域网传播:
病毒搜索网络共享盘并尝试将自己复制到以下路径中
windows\all users\start menu\programs\startup
windows\start menu\programs\startup
winme\all users\start menu\programs\startup
winme\start menu\programs\startup
win95\all users\start menu\programs\startup
win95\start menu\programs\startup
win98\all users\start menu\programs\startup
win98\start menu\programs\startup
document and settings\all users\start menu\programs\startup
document and settings\default user\start menu\programs\startup
document and settings\administrator\start menu\programs\startup
winnt\profiles\all users\start menu\programs\startup
winnt\profiles\default user\start menu\programs\startup
winnt\profiles\administrator\start menu\programs\startup
其它:
病毒能搜索mirc的客户端,并利用病毒自身放出的irc脚本进行传播。 同时病毒还利用p2p软件Kazaa进行传播。病毒通过把自己复制到%windir%temp目录(文件名随机)并把该目录通过Kazaa共享出去以达到传播目的。
病毒可能使用的文件名:
Download Accelerator
GetRight FTP
Windows Media Player
key generator
installer
cleaner
fixtool
AOL hacker
Cooking with Cannabis
Virus Generator
......
病毒在运行中将关闭以下的反病毒软件及防火墙。
_avp
ackwin32
amserv
anti-troj
aplica32
apvxdwin
autodown
avconsol
ave32
avgcc32
avgctrl
avgw
avkserv
avnt
avp
avsched32
avwin95
avwupd32
blackd
blackice
bootwarn
ccapp
ccshtdwn
cfiadmi
cfiaudit
cfind
cfinet
claw95
dv95
ecengine
efinet32
esafe
espwatch
f-agnt95
f-prot
f-prot95
f-stopw
findviru
fp-win
fprot
fprot95
frw
gibe
iamapp
ibmasn
ibmavsp
icload95
icloadnt
icmon
icmoon
iCssuppnt
icsupp
iface
iomon98
jedi
kpfw32
lockdown2000
lookout
lu32
luall
moolive
mpftray
msconfig
nai_vs_stat
nav
navapw32
navnt
navsched
navw
nisum
nmain
normist
nupdate
nupgrade
nvc95
outpost
padmin
pavcl
pavsched
pavw
pcciomon
pccmain
pccwin98
pcfwallicon
persfw
pop3trap
rav
regedit
rescue
safeweb
serv95
sphinx
sweep
tca
tds2
vcleaner
vcontrol
vet32
vet95
vet98
vettray
view
vscan
vsecomr
vshwin32
vsstat
weBTrap
wfindv32
zapro
zonealarm
swen0.dat (记录一些服务器的ip地址)
germs0.dbv (记录搜出的email地址信息)
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-9-17
