Worm.Lehs

病毒名称:

Worm.Lehs

类别： 蠕虫病毒

病毒资料：

破坏方法：

VB写的病毒，通过Outlook发送邮件传播。

病毒伪装成微软的RPC DCOM漏洞的补丁，发送的邮件可能包含如下内容：

"Microsoft Corporation has issued a patch for the DCOM RPC vulnerability.

The patch can be downloaded below named patch883653.exe. This patch will

patch your computer from the rpc eXPloit recently used by W32.Blaster.Worm.

Thank you for your time and coorporation. "

病毒可能复制的目录和文件名为：

C:\Windows\System\Sysrestore\Restoreshell.exe

C:\Windows\system32\Sysrestore\Shell.exe

C:\Windows\system32\Sysrestore\MSIinstall.exe

C:\Windows\system32\Sysrestore\WINcom.exe

C:\Windows\system32\Sysrestore\KERNEL32.exe

C:\Windows\system32\Sysrestore\Notepad.exe

C:\Windows\system32\Sysrestore\Kern16.exe

C:\Windows\system32\Sysrestore\Win-16_BIT.exe

C:\Windows\System\Sysrestore\MSIshell.exe

C:\Windows\System\Sysrestore\WIN_16-Bit.exe

C:\Windows\System\Sysrestore\Kernel32.exe

C:\Windows\System\Sysrestore\KERNEL32.dll

C:\Windows\System\Sysrestore\Notepad.exe

C:\Windows\System\Sysrestore\MSIinstall.exe

C:\Windows\System\Sysrestore\Windows.exe

C:\Windows\System\Sysrestore\reInstall.exe

C:\Windows\System\Sysrestore\MicroPackage.exe

C:\Windows\System\Sysrestore\Dage.exe

C:\Windows\System\Sysrestore\Gadeth.exe

C:\Windows\System\Sysrestore\Ndad.exe

C:\Windows\System\Sysrestore\Patch.exe

C:\Windows\System\Sysrestore\Patchda82653.exe

C:\Windows\System\Sysrestore\Patch8ba82653.exe

C:\Windows\System\Sysrestore\Patch882he653.exe

C:\Windows\System\Sysrestore\Patch882ad653.exe

C:\Windows\System\Sysrestore\Patch88a2653.exe

C:\Windows\System\Sysrestore\Patch88gadh2653.exe

C:\Windows\System\Sysrestore\Patch8826ad53.exe

C:\Windows\System\Sysrestore\Patch882hae653.exe

C:\Windows\System\Sysrestore\Patch8822d653.exe

C:\Windows\System\Sysrestore\Patch8a82653.exe

C:\Windows\System\Sysrestore\Patch8agd82653.exe

C:\Windows\System\Sysrestore\Patch8da82653.exe

C:\Windows\System\Sysrestore\Patch88ba2653.exe

C:\Windows\System\Sysrestore\Patch88asdf2653.exe

C:\Windows\System\Sysrestore\Patch88abad2653.exe

C:\Windows\System\Sysrestore\Patch882da653.exe

C:\Windows\System\Sysrestore\Patch88ads2653.exe

C:\Windows\System\Sysrestore\Patch8826da53.exe

C:\Windows\System\Sysrestore\Patch88265ba3.exe

C:\Windows\System\Sysrestore\Patch8826a53das.exe

C:\Windows\System\Sysrestore\Patch8826fasd53ds.exe

C:\Windows\System\Sysrestore\Patch882abd653.exe

C:\Windows\System\Sysrestore\Patch8826nda53.exe

C:\Windows\System\Sysrestore\Patch88wa2653.exe

C:\Windows\System\Sysrestore\Patch88265bad3.exe

C:\Windows\System\Sysrestore\Patch88265bna3.exe

C:\Windows\System\Sysrestore\Patch88265ad3.exe

C:\Windows\System\Sysrestore\Patch88265adsf3.exe

C:\Windows\System\Sysrestore\Patch88sd2653.exe

C:\Windows\System\Sysrestore\Patch882ban653.exe

C:\Windows\System\Sysrestore\Patch8826adwe53.exe

C:\Windows\System\Sysrestore\MTK.exe

C:\Windows\System\Sysrestore\Splinter.exe

C:\Windows\System\Sysrestore\{927982-2356-0042-25}HKEY.exe

C:\Windows\System\Sysrestore\Bin.exe等

它还将在c:\下生成如下名字的空目录：

C:\blak

C:\prune

C:\ad

C:\ablak

C:\bhblak

C:\blaadk

C:\blaadadk

C:\blaeak

C:\bla dsak

C:\blabadwtk

C:\blwety32ak

C:\bl346ak

C:\blnaak

C:\bl32hadak

C:\bl2ak

C:\blay23k

C:\blhah3ak

C:\bln33425ak

C:\bwetlak

C:\blasdak

C:\basdlak

C:\blhaak

C:\blahadewk

C:\blahsak

C:\bnclaks

C:\blacvnk

C:\blnaedak

C:\blwerak

C:\blaweeaak

病毒将修改AUTOEXEC.BAT文件，加入一行：

Start ％SystemRoot％\Sysrestore\Notepad.exe

文件：Notepad.exe就是病毒本身

病毒还将释放一个文件：

MSDOS_3.Bat，用来对下列网站进行攻击：

www.norton.com

http://securityresponse.symantec.com

win.ini

[windows]

run=％SystemRoot％\Sysrestore\Notepad.exe

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2003-9-12