病毒名称(中文):
托弗
病毒别名:
I-Worm.Torvil.d[Kaspersky]W32.HLLW.Torvil@mm[Sym
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
62464
影响系统:
Win9xWin2000WinXP
病毒行为:
编写工具:
DELPHI编写,采用ASPACK压缩
传染条件:
A、该蠕虫通过它自带的SMTP引擎发送带毒邮件,邮件中的HTML代码还利用"incorrectMIMEtype"漏洞来入侵系统.
可能的邮件主题:
congratulations!
darling
Donotrelease,itstheinternalrls!
Documents
Pr0n!
Undeliverablemail--
Returnedmail--
here?sanicePicture
NewInternalRls...
here?sthedocument
here?sthedocumentyourequested
here?sthearchiveyourequested
邮件主题还会使用“答复发件人”的方法发送
可能的附件名称:
yourwin.bat
probsolv.doc.pif
flt-xb5.rar.pif
document.doc.pif
sexinthecity.scr
torvil.pif
win$hitrulez.pif
sexy.jpg
flt-ixb23.zip
readit.doc.pif
document1.doc.pif
attachment.zip
message.zip
Q723523_W9X_WXP_x86_EN.exe
B、还利用KaZaA点对点软件的共享文件和IRC来传播,病毒在利用KaZaA工具时会拷贝自身到该工具的共享文件夹中;
C、使用弱密码探测局域网中的其它电脑系统,成功后会拷贝一个名为Remainder.exe的文件到被破解的电脑系统。
发作条件:
系统修改:
A、复制自身到WINDOWS安装目录;
%Windir%schost.exe
B、使用随机文件名复制自身到WINDOWS安装目录;
%Windir%spool<随机字符串>.exe
%Windir%SMSS<随机字符串>.exe
C、会在C盘根目录生成文件Torvil.log;
D、添加键值
"ServiceHost"="%Windir%.exe"
到注册表中
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
以便病毒可随机自启动
E、病毒在注册表中创建下面的键值来储存它自己的配置信息:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedOneLevelDeeperTorvilDB
它给下面这个键赋值"TORVIL",并以此来储存它的副本的文件名:
TORVIL="spoolhv.exe"
F、在WindowsNT/2K/XP中,下面的键值也会被修改:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonShell="Explorer.exespoolhv.exe"
此外,在Windows9x系统中,WIN.INI的运行要害字被改为%Windowsspoolhv.exe,:
[windows]
run=%Windows%spoolhv.exe
(注重:"spoolhv.exe"只是对病毒生成的文件的一个举例,它真实的名字可能是"spool??.exe"或SMSS??.exe"。)
G、它还会修改与exe、com、pif、scr、cmd、bat的关联,当运行这些文件时会先运行病毒
HKEY_CLASSES_ROOTatfileShellopencommand(默认)="%Windows%svchost.exe"%1"%*"
HKEY_CLASSES_ROOTcmdfileShellopencommand(默认)="%Windows%svchost.exe"%1"%*"
HKEY_CLASSES_ROOTcomfileShellopencommand(默认)="%Windows%svchost.exe"%1"%*"
HKEY_CLASSES_ROOTexefileShellopencommand(默认)="%Windows%svchost.exe"%1"%*"
HKEY_CLASSES_ROOTpiffileShellopencommand(默认)="%Windows%svchost.exe"%1"%*"
HKEY_CLASSES_ROOTscrfileShellopencommand(默认)="%Windows%svchost.exe"%1"/S"
H、病毒通过修改下面键值来禁止用户进入注册表编辑器:
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools=0x1
发作现象:
A、病毒运行时会显示以下对话框;
(图1)
B、中止知名杀毒软件的进程和个人网络防火墙进程;
非凡说明: