病毒名称:
Worm.Skybag.a
类别: 蠕虫病毒
病毒资料:
破坏方法:
一个用VC编写的蠕虫病毒
病毒行为:
病毒运行后将自己复制到%SYSTEM%目录下文件名为:
Windows_kernel32.exe
并在注册表
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
中加入自己的键值:Microsoft Kernel=%sysem%\Windows_kernel32.exe
以达到自动启动目的。
进程监控:
病毒遍历系统进程例表,杀死以下进程名的进程:
CCAPP.exe,ZONEALARM.EXE,ZONALM2601.EXE,
ZAUINST.EXE,ZATUTOR.EXE,ZAPSETUP3001.EXE
ZAPRO.EXE,XPF202EN.EXE,WYVERNWORKSFIREWALL
.EXE,WSBGATE.EXE,WRCTRL.EXE,WRADMIN.EXE
WNT.EXE,WINRECON.EXE,WHOSWATCHINGME.EXE,
WGFE95.EXE,WEBSCANX.EXE,WATCHDOG.EXE,
W9X.EXE W32DSM89.EXE,VSWINPERSE.EXE,
VSWINNTSE.EXE,VSWIN9XE.EXE,VSSTAT.EXE,
VSMON.EXE,VSMAIN.EXE VSISETUP.EXE,
VSHWIN32.EXE,VSECOMR.EXE,VSCENU6.02D30.EXE,VPTRAY.EXE,VPFW30S.EXE,VPC42.EXE VNPC3000.EXE,VNLAN300.EXE,VIRUSMDPERSONALFIREWALL.EXE,VFSETUP.EXE,VCSETUP.EXE,VBWINNTW.EXE
VBWIN9X.EXE,VBUST.EXE,VBCONS.EXE,
VBCMSERV.EXE,UPDATE.EXE,UNDOBOOT.EXE,
TROJANTRAP3.EXE TRJSETUP.EXE,TRJSCAN.EXE,
TRACERT.EXE,TITANINXP.EXE,TITANIN.EXE,
TGBOB.EXE,TFAK5.EXE TDS2-NT.EXE,TDS2-98.EXE,
TDS-3.EXE,TCM.EXE,TCA.EXE,TC.EXE,TAUSCAN.EXE,TAUMON.EXE,TASKMON.EXE SYSEDIT.EXE,
SYMPROXYSVC.EXE,SUPPORTER5.EXE,SUPFTRL.EXE,
ST2.EXE,SS3EDIT.EXE,SPYXX.EXE
SPHINX.EXE,SPF.EXE,SOFI.EXE,SMC.EXE,
SHN.EXE,SHELLSPYINSTALL.EXE
......
修改hosts文件:
病毒在系统的hosts文件中加入
127.0.0.1 www.norton.com 127.0.0.1 norton.com 127.0.0.1
yahoo.com 127.0.0.1 www.yahoo.com
127.0.0.1 microsoft.com 127.0.0.1 www.microsoft.com 127.0.0.1
windowsupdate.com
127.0.0.1 www.windowsupdate.com 127.0.0.1 www.McAfee.com
127.0.0.1 mcafee.com
127.0.0.1 www.nai.com 127.0.0.1 nai.com 127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 liveupdate.symantec.com 127.0.0.1 www.sophos.com
127.0.0.1 www.Google.com
127.0.0.1 google.com.以阻止用户访问以上网站。
后门:
病毒监听2345端口,等待用户联接。(攻击者可以通过这个端口上传文件并执行。)
Dos攻击:
病毒在 11月15号以后 将启动100个线程对ww.kazaa.com发动Dos攻击。
P2P(共享目录传播)
病毒遍历磁盘目录,当发现目录名带有字串“shar”时,将自己复制过去文件名为:
Visual Studio.NET.zip .exe
DVD Xcopy xpress.exe
Britney spears naked.jpeg .exe
Teen Porn.mpeg .exe
Windows crack.zip .exe
Kazaa Lite.zip .exe
NETSKY SOURCE CODE.zip .exe
Battlefield 1942.exe
Norton AntiVirus 2004.exe
Brianna banks and jenna jameson.mpeg .exe
Snood new version.exe
Opera Registered version.exe
jenna jameson screensaver.scr
WINDOWS SOURCE CODE.zip .exe
Windows Longhorn Beta.exe
WinRAR.exe.
WinAMP 6.exe
Cisco source code.zip .exe
Adobe Photoshop Full Version.exe
ACDSEE10.exe
以诱骗网络上的用户下载执行的目的。
邮件传播:
病毒遍历磁盘文件并尝试从以下扩展名的文件中提取email地址。
dbx.adb.ASP.jsp.rtf.doc.XML.txt.htm.Html
注:
病毒将不向地址中带有以下字串的地址发送病毒邮件:@hotmail.@fsecure.@virusli.@noreply
@norton.@norman.@mm.@sopho..@MSN.
@microsoft.@avp.@panda.@symantec.
邮件内容:
Our server is experiencing some latency in our email service.
The attachment
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-10-28