病毒名称:
Worm.Lentin.z
类别: 蠕虫病毒
病毒资料:
破坏方法:
病毒是Visual C++编写,采用UPX压缩的蠕虫
它使用它自己的SMTP引擎来向windows 的地址薄中的联系人、MSN中联系人、等其他Email邮件地址发送带毒邮件;
试图通过共享网络和映射驱动器、KAZaA文件共享网络来传播;能够记录键盘操作、执行拒绝服务攻击。
能够终止许多计算机防护软件的运行。
病毒一旦运行,将复制自己到如下目录:
%SYSDIR%\exe32.exe
%SYSDIR%\\msmgr32.exe
%CommonStartup%\msmgr32.exe
%CurrentUserStartup%\msmgr32.exe
生成下列文件:
%WINDIR%\Hosts
%WINDIR%\Lmhosts
%SYSDIR%\etc\hosts
%SYSDIR%\etc\Lmhosts
这些文件包含的内容为:
127.0.0.1 www.symantec.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.sophos.com
127.0.0.1 www.avp.ch
127.0.0.1 www.McAfee.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www3.ca.com
127.0.0.1 www.ca.com
文件:Hosts 包含IP地址到主机名的映射
Lmhosts 包含IP地址到计算机名的映射,病毒修改这些文件的目的是让用户无法登录这些网站;
还会生成文件:
%SYSDIR%\mss32.dll,用来保存Eamil地址
添加如下键值以使自己随系统启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
"MsManager"="%System%\msmgr32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices
"MsManager"="%System%\msmgr32.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
"MsManager"="%System%\msmgr32.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices
"MsManager"="%System%\msmgr32.exe"
修改下列文件关联:
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES
\batfile\shell\open\command
"@"=""%SYSDIR%\exe32.exe""%1"%*"
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES
\comfile\shell\open\command
"@"=""%SYSDIR%\exe32.exe""%1"%*"
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES
\exefile\shell\open\command
"@"=""%SYSDIR%\exe32.exe""%1"%*"
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES
\piffile\shell\open\command
"@"=""%SYSDIR%\exe32.exe""%1"%*"
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES
\scrfile\shell\open\command
"@"=""%SYSDIR%\exe32.exe""%1"%*"
这样当用户执行这些扩展名的文件时首先执行病毒
病毒还禁止使用注册表工具:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System
"DisableRegistryTools"="1"
创建如下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RedWorm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Winver
HKEY_LOCAL_MACHINE\Winver
删除如下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
"syshelp"
"WinGate initialize"
"Module Call initialize"
"WinServices"
"WindowsMGM"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices
"WinServices"
HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices
"WindowsMGM"
删除如下文件:
%SYSDIR%\WinServices.exe
%SYSDIR%\nav32_loader.exe
%SYSDIR%\tcpsvs32.exe
%SYSDIR%\syshelp.exe
%SYSDIR%\WinGate.exe
%SYSDIR%\WinRpcsrv.exe
%SYSDIR%\winmgm32.exe
%WINDIR%\SNTMLS.DAT
枚举下列活动的窗口并终止它的运行:
Windows Task Manager
System Configuration Utility
Registry Editor
Process Viewer
枚举下列活动的进程并终止之:
_AVP32
_AVP32.EXE
_AVPCC
_AVPCC
_AVPCC.EXE
_AVPM
_AVPM.EXE
AckWin32
AckWin32
ACKWIN32
AckWin32.exe
AckWin32.exe
ACKWIN32.EXE
ADVXDWIN
....
....
....
在端口139、135、445对几个预定义的主机执行拒绝服务攻击;
搜索目录:%WINDIR%\INETPUB\WWWROOT目录下的搜索扩展名为.htm、.Html的文件,并替换其内容为:
Ha..Ha..Haaa...
病毒检索注册表的KaZaA共享文件夹,执行如下操作:
将所有扩展名为:.com, .exe, 或 .scr的扩展名为.mp3,并以原文件名复制病毒,如果文件长度没有原来长则补零。
病毒发送带毒邮件时有如下特征:
主题: Fw: Critical Patches
附件: MS-Q3946.EXE
消息正文:
Hi,
I got this mail from Microsot support. Atlast Microsoft has got a comprehensive patch
for all the vulnerabilities. Once this patch is applied, it takes care of all
the recent virus problems
in Microsoft prodUCts.
Later....
Microsoft support wrote:
Thanks for using Microsoft products. Recent viruses have prompted
micrsoft to issue patches
to all its customers worldwide.
We are including a comprehensive patch for all windows platforms.
This patch gives you
comprehensive protection against all recent viruses.
Yours sincerely,
Kelly
Team Support
Microsoft Inc
等等...
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-12-17