W32.Gunsan

病毒名称:

W32.Gunsan

类别： 蠕虫

病毒资料：

受影响系统：Windows 98, Windows NT, windows 2000, Windows XP, Windows Me

不受影响系统：Macintosh, Unix, Linux

病毒危害：

1.大量发送邮件：会向受感染机器上的所有邮件地址发送带毒邮件；

2.删除文件：会删除病毒同目录下含有McAfee, softice, numega, antivirus, anti-virus, win32dasm, sophos, catsclaw, claw95, lockdown, symantec, firewall, virusscan, virus-scan, fprot, f-prot, zone labs, 或 atguard的所有文件；

3.修改文件：会修改后缀为.kix的文件以运行病毒，另外，.Html文件也会被修改成自动打开某个微软站点；

4.导致系统不稳定：会删除必要的系统文件；

5.危及安全设置：会删除反病毒及防火墙产品文件；

病毒传播：

主题：一个单空格符

附件：Tast.exe

附件大小：51200字节

技术特征：

这是一个邮件蠕虫，会感染本地磁盘及共享网络，同时会在安装了IRC的用户电脑上为黑客远程控制开后门。运行后，它会：

1.拷贝自身为％SystemExplorer16.exe；

2.添加键值Explorer ％System％Explorer16.exe至注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices中,使得病毒在Windows启动时自动运行；

3.在Windows9598ME机器上，病毒会将自己注册成一项服务，这使得它能够在不被用户查觉时运行；

4.接着，搜索％WindowsInternet Logs文件夹以确定机器上是否安装了ZoneAlarm个人防火墙；如果此文件夹存在，就会C:Noalarm.bat，此文件含有解保护的指令并且会删除如下文件：

％System％Vsdata95.vxd

％System％Vsdatant.sys

％System％Vsdata.dll

％System％Vsmonapi.dll

％System％Vspubapi.dll

％System％Vsmonapi.dll

％WindowsInternet Logs*.*

Progra~1oneLa~1oneAl~1*.* (在Windows安装盘下.)

％System％oneLabs*.*

5.随后，添加一行命令至C:Autoexec.bat，使得下次重启机器时其中的指令会被运行；

6.修改DNS配置文件％WindowsHosts ，使得如下站点名变为本地计算机（127.0.0.1）的地址，而不是这些站点的真正互联网地址了；

mcafee.com

mcaffee.com

norton.com

theregister.co.uk[未结束][iduba_page]www.zdnet.com

sophos.com

zonelabs.com

zonealarm.com

7.之后，在0至4999之间随机选择一个TCP/IP端口，将此端口号记录到C:Skyliner.dat文本文件中，随后病毒仅使用这个端口。接着病毒会设置一个服务器来监听此端口的网络连接，假定病毒作者通过扫描网络以寻找有安全漏洞的机器，服务器会用HTTP格式的标准响应来回复；

8.用微软的某个站点打开HTTP连接，以此来测试被感染机器是否与互联网相连。若连接了，则会在记录完所连接Web服务器的IP地址后，立即关闭连接。若机器并没与互联网相连，病毒也无法连接微软站点时，它会每65秒就连一次，直至连接成功；

9.病毒检测到机器正与互联网连接后，会检查机器的邮件配置情况，阅读键值SoftwareMicrosoftInternet Account ManagerDefault Mail Account

并打开注册表键SoftwareMicrosoftInternet Account ManagerAccounts

或SoftwareMicrosoftInternet Account ManagerAccounts

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

新蠕虫"Gunsan"危害大 会删除大量文件。

发现日期：

2002-6-26

• ·W32.Fusic@mm
• ·W32.Frethem.J@mm
• ·W32.HLLW.Elitor
• ·W32.HLLW.Bare
• ·W32.Higuy@mm
• ·W32.Golsys.8020
• ·W32.HLLW.Relmony
• ·W32.HLLW.Oror.B@mm
• ·W32.HLLW.Winevar
• ·W32.HLLW.Ultimax