病毒名称(中文):
恶邮差变种U
病毒别名:
爱情后门变种V[瑞星]
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
124
影响系统:
Win9xWinNTWin2000WinXP
病毒行为:
“恶邮差”系例
编写工具:
vc多重压缩
传染条件:
利用邮件和局域网高速传播
发作条件:
系统修改:
A、自我复制到
%SYSDIR%IEXPLORE.EXE
%SYSDIR%kernel66.dll
%SYSDIR%RAVMOND.exe
%SYSDIR%SysBoot.EXE
%SYSDIR%WinDriver.exe
%SYSDIR%winexe.exe
%SYSDIR%WinGate.exe
%SYSDIR%WinHelp.exe
%DRIVER%SysBoot.exe
B、病毒将释放一个DLL文件,此文件将在系统中殖入远程后门代码
%SYSDIR%
eg678.dll
%SYSDIR%Task688.dll
病毒将释放一个利用QQ发送消息传播的病毒:“Worm.LovGate.v.QQ”,相关文件名目录为:
%SYSDIR%internet.exe
%SYSDIR%svch0st.exe
C、添加以下键值
HKEY_CLASSES_ROOTexefileshellopencommand
(默认):%SYSDIR%WINEXE.EXE"%1"%*
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
"WinGateinitialize"="%SYSDIR%WINGATE.EXE-REMOTESHELL"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
"WinHelp"="%SYSDIR%WINHELP.EXE"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
"RemoteProcedureCallLocator"="RUNDLL32.EXEREG678.DLLONDLL_REG"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
"ProgramInWindows"="%SYSDIR%IEXPLORE.EXE"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRunServices
"SystemTra"="%WINDIR%SYSTRA.EXE/SYSTRA:KERNEL32.DLL"
在win9x下还修改系统文件:
WIN.INI
[WINDOWS]
"RUN"="RAVMOND.EXE"
在win2k、NT、XP下注册服务:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesll_reg
DisplayName="ll_reg"
IMAGEPATH="RUNDLL32.EXETASK688.DLLONDLL_SERVER"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsManagementInstrumentationDriverExtension
DisplayName="WindowsManagementInstrumentationDriverExtension"
IMAGEPATH="%SYSTEM%WINDRIVER.EXE-START_SERVER"
病毒也将在每一个硬盘和可移动盘的根目录下建立一个文件:AUTORUN.INF的文件,内容为:
[AUTORUN]
Open="%DRIVER%:SysBoot.EXE"/StartExplorer
其中%DRIVER%为相应的驱动器。
这样在用户打开该驱动器后将运行病毒
D、病毒变相感染可执行文件
病毒可能会将EXE文件改名为ZMX文件,并设置属性为“隐藏”和“系统”,如:病毒搜索到一个名为“Winword.exe”的文件,会将其改名“Winword.zmx”并设置属性“隐藏”和“系统”,然后释放一个名为“Winword.exe”的病毒复本。
这个功能的条件是:病毒运行后,每隔一小时会检查系统中是否有“网络映射驱动器”和“可移动驱器”,假如有,侧会进行上述变向的文件感染。
E、Windows弱口令密码试探攻击、放出后门程序、盗取密码
F、病毒利用mapi及搜出的email地址,对收信箱里的邮件进行回复(传播)。
邮件标题随机从病毒体内选出
当病毒被运行后每隔一定时间发送一次通知邮件给
位于163.com的一个信箱,邮件内容为中毒系统的ip地址,以便利用病毒的后门进行控制
发作现象:
共享目录会塞满此蠕虫的文件,一般轻易辨认。
非凡说明:
