病毒名称(中文):
爱情杀手
病毒别名:
I-Worm.GOPworm.153.a[AVP]
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
62367
影响系统:
Win9xWinNT
病毒行为:
这是一个具有盗取密码特性的蠕虫病毒。它伪装成一个Flash文件,运行之后,它释放一个临时的文件,然后搜索文本文件的关联程序(一般是记事本程序),运行该程序打开,打开临时文件,造成一种假相欺骗用户,而病毒已经在后台静静运行。该蠕虫会释放一个Dll文件并将它注入到用户进程以及Explorer.exe进程,就可以避开防火墙的与外界通信。它搜索共享网络驱动器和映射驱动器,并将自己复制进去,然后通过修改其中的Win.ini文件来启动病毒。它会搜索用户本地的bmp、rtf、doc、txt、gif、jpeg、jpg等文件,当文件小于一定长度时,就会将kernelsys32.exe和用户文件捆绑在一起,并通过邮件以附件的形式发送给其它用户。它利用MicrosoftOutlook的一个漏洞,当收到邮件的用户打开附件时,病毒就会自动执行,同时它将捆绑的文件释放到临时目录,并打开它以伪装自己。它还会窃取用户QQ密码。
1.释放文件%system%\kernelsys32.exe(大小60313字节),并释放文件%system%\IMEKernel32.sys(实际上是DLL文件,大小61440字节),临时文件%temp%\BugList.txt。
2.修改注册表:
添加表项:
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows"run"=""
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"IMEKernel32"="c:\winnt\system32\kernelsys32.exe"
3.将释放的文件%system%\IMEKernel32.sys注入到用户进程以及Explorer.exe进程,避开防火墙与外界通信。
4.搜索共享网络驱动器和映射驱动器,并将自己复制成里面的\Recycled\Notdelw.i.n.v.e.r.y.i.f.y.exe,然后通过修改其中的Win.ini文件来启动病毒。
5.该病毒会搜索.htm和.html里的邮箱地址,然后搜索用户本地的bmp、rtf、doc、txt、gif、jpeg、jpg等文件,当文件小于80K时,就会将kernelsys32.exe和用户文件捆绑在一起,并通过邮件以附件的形式发送给其它用户。它利用MicrosoftOutlook的IFRAME漏洞,当收到邮件的用户打开附件时,病毒就会自动执行,同时它将捆绑的文件释放到临时目录,并打开它以伪装自己。
该病毒会在以下语句中随机选一句作为邮件主题:
想念你的模样
想我的小宝贝了
快乐
给我永恒的爱人
我爱你
想念
我在等着你
吻你
你是我的女主角
爱,有时候真的不能去比较的
哎
Fw:姐姐的照片
记得收好我的照片呀!
Xue
您的朋友张给您寄来贺卡
邮件内容是内置的14种情书。
关于漏洞:http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp.
6.它还好窃取QQ密码,并将它们保存在系统目录%system%下的drocerr.sys和drocerrbk.sys文件中,在适当的时候发送给病毒作者。
