病毒名称(中文):
马思兰
病毒别名:
Net-Worm.Win32.Maslan.b[AVP],Worm.Win32.Maslan.b
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
49445
影响系统:
Win9xWinNT
病毒行为:
这是一个通过邮件传播的蠕虫病毒。该病毒发作的时候将路径中带有share、setup、distr、download这4个单词的pif、exe、rar、zip文件备份,并用病毒文件来覆盖原来的这些文件。为了实现病毒的开机自启动,该病毒每隔20秒钟写一次注册表启动项。该病毒在本地机器收集邮件地址,还会跳过带有安全网站字眼的邮件地址,以免被反病毒厂商截获,再将病毒做为附件发送到邮件接收者。
邮件截图
1)建立互斥体ALAxALA,防止病毒的多个实例同时运行。
2)建立病毒文件:
System%\___e
%System%\___u
%System%\___r.exe(病毒副本)
%System%\___j.dll(会被注入svchost.exe进程)
%System%\___synmgr.exe
%SystemRoot%\___n.EXE
建立临时文件:
%System%\_AlaMail
%System%\_AlaScan
%System%\_AlaDdos
%System%\_AlaFtp
%System%\_Prior
%System%\___m
%System%\___t
3)在注册表中为病毒的自启动添加启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"MicrosoftSynchronizationManager"="___synmgr.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"MicrosoftSynchronizationManager"="___synmgr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"MicrosoftSynchronizationManager"="___synmgr.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"MicrosoftWindowsDHCP"="%System%\___r.exe"
4)查找路径中带有下列字眼并且比%System%\___u大的pif、exe、rar、zip文件
share
setup
distr
download
备份这些文件并用%System%\___u的内容代替这些文件的内容,这些文件的名称保持不变而将后缀名全部改成.exe,也就是全部变成了病毒。
5)从下列扩展名的文件中收集邮件地址:
xml
xls
wsh
mmf
mht
mdx
mbx
jsp
htm
eml
dhtm
dbx
cgi
cfg
asp
adb
wab
uin
txt
tbb
stm
shtm
sht
pl
php
oft
ods
nch
msg
6)用来伪造邮件发信人的姓:
Miller
Scott
Jackson
Nelson
Ruben
Bernard
Kramer
Kutcher
Goldberg
Green
Conor
Lopez
Carter
Ghisler
Smith
用来伪造邮件发信人的名:
Christian
Sarah
Mackye
John
Angel
Steven
Peter
Arnold
Chris
Helen
Ivan
Robert
Alan
Liza
Andrew
Anna
Maria
例如:MackyeGreen和RobertGhisler这就是2个伪造的发信人。
7)用来伪造发信人邮箱的域名:
mail.com
freemail.com
hotmail.com
yahoo.com
msn.com
aol.com
8)该病毒为了防止将自己发送给反病毒厂商会跳过带有下列字眼的邮件地址:
utgers.ed
tanford.e
pgp
acketst
secur
isc.o
isi.e
ripe.
arin.
sendmail
rfc-ed
ietf
iana
usenet
fido
linux
kernel
ibm.com
fsf.
gnu
mit.e
bsd
math
unix
berkeley
foo.
mysqlruslis
nodomai
mydomai
example
inpris
borlan
sopho
panda
syma
avp