病毒名称:
W32.Fusic@mm
类别: 蠕虫
病毒资料:
受影响系统:Windows 95, Windows 98, Windows NT, windows 2000, Windows XP, Windows Me
不受影响系统:Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
病毒危害:
修改注册表;
勾住按键程序,拦截机密数据。
病毒传播:
主题: To be my friend?
正文: To be my friend?Please look at my photos in the 附件
附件: My introdUCtion and photos.exe
主题: resume
正文: Please look at my resume
附件: My resume.exe
主题: Funny movie
正文: Funny flash movie
附件: Funny movie.exe
主题: Document you want
正文: What you want is in the attachment
附件: Readme.exe
技术特征:
这是一个具有后门功能的邮件蠕虫,通过电子邮件繁殖自己。它利用MAPI向Windows地址簿中的所有联系人发送病毒邮件。运行后:
1.将自己复制为%system%KernelKernel32.exe
2.创建如下文件:
%system%FuncDLL.dll
%system%IEHelper.dll
这两个文件是木马组件用来拦截按键程序的。FuncDLL.dll通过勾住键盘信息来拦截按键情况。IEHelper.dll处理在浏览器中输入数据所引发的IE事件。两个文件都将拦截的数据及URL存放在%system%Passlogx.log中。如果你机器上有这个文件的话,说明你已经中毒,你可以打开该文件看看你的哪些数据被拦截了。
3.在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
中创建值kernel %system%kernelkernel32.exe
使得蠕虫在机器启动时自动运行。
同时创建如下两个注册表键;
HKEY_LOCAL_MACHINESOFTWAREkernel
HKEY_LOCAL_MACHINESOFTWAREkernelA09b37xz
其中的键值包含有所储存的内部设置数据。
4.Windows 95/98/Me系统上,它会将自己注册成一服务进程,使得用户注销时蠕虫仍能运行,只在半闭系统,它才会被关闭。
5.在勾子链中安装一个勾子程序以监控系统的键盘及鼠标,键盘及鼠标勾子程序处理信息,然后将“勾”到的数据传递给当前勾子链中另一个勾子程序。
一旦上述勾子程序被安装,蠕虫就会等待远程客户端的指令,这些指令可能让黑客执行如下操作:
向黑客发送系统及网络信息;
终止进程;
拦截机密数据;
6.利用MAPI向外发送邮件。接着检查Locale ID,如果不是汉语的话,则以上面所述的邮件格式发送病毒邮件。如果Locale ID是汉语,则会将其翻成汉语。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
主题变化不定 新蠕虫感染后会截取机密数据 。
发现日期:
2002-11-22
