病毒名称(中文):
病毒别名:
I-Worm.Cone.e[AVP]
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
17920
影响系统:
Win9xWinNT
病毒行为:
这是一个通过Kazaa文件共享系统和电子邮件来进行传播的蠕虫病毒。假如当前系统时间是3月以后,该病毒只在本地机器上生成并打开一个网页文件W32.Cyclone.htm来传播某些言论,并不采取破坏动作。假如当前系统时间是3月或3月以前,该病毒会打开一个操作系统许可协议的文本文件,在Kazaa文件共享系统的下载目录下建立一个属性为“系统”、“隐藏”的文件夹Recieved,并将病毒的多个副本拷贝到该文件夹下。由于这些病毒副本是隐藏文件,共享用户可能会在拷贝其他文件的时候将这些病毒文件也拷贝过去,从而导致系统中毒。该病毒还将病毒做为邮件附件发送出去,修改host文件,使得用户无法访问多个安全网站。
1)病毒生成的网页文件%SystemRoot%\W32.Cyclone.htm
该文件显示的内容为:
Weneedfreedominiran
Wedon"twantislamic
republic
whereishumanrightswatch?
AlsothisisawarningtoEuropeancountries:don"tsupportislamicrepublicofiran,youmustknowthatyour
supportisourmisery,
thenextwarningwillbethenextwormthattargetsEuropeanorganizations!
Zer0_SuN
(thereisasunatzeroo"clock)
(Idon"twanttodamageanycomputer,Ijustwanttobringirna.comdown
Iranianprogrammers,helpmeinthisway-wewanttoshowtheworldthatwedon"twantislamicrepublic)
2)建立多个病毒的副本:
%SystemRoot%\svchost.exe
%System%\1enel.dll
%System%\1vis.dll
%System%\1url.dll
%System%\1eml.dll
%System%\1check.dll
%System%\1seml.dll
%Temp%\svchost.exe
%Temp%\1http.dll
%Kazaa文件共享系统下载目录%\Recieved\Playboy-Screensaver-Nov-03.scr
%Kazaa文件共享系统下载目录%\Recieved\BAD-GIRLS(Playboy)-ScreenSaver.scr
%Kazaa文件共享系统下载目录%\Recieved\Winamp5.01.exe
%Kazaa文件共享系统下载目录%\Recieved\Screensaver-HotGirls-part*.scr
windows\StartMenu\Programs\Startup\win.exe
documentsandsettings\ALLUSERS\StartMenu\Programs\Startup\win.exe
3)在注册表中添加启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsServicesHost"="%SystemRoot%\svchost.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsServicesHost"="%SystemRoot%\svchost.exe"
4)建立互斥体C-OnE
5)修改host屏蔽下列网站:
www.trendmicro.com
trendmicro.com
rads.mcafee.com
customer.symantec.com
liveupdate.symantec.com
us.mcafee.com
updates.symantec.com
update.symantec.com
support.microsoft.com
www.microsoft.com
microsoft.com
www.nai.com
nai.com
secure.nai.com
dispatch.mcafee.com
download.mcafee.com
www.my-etrust.com
my-etrust.com
mast.mcafee.com
ca.com
www.ca.com
networkassociates.com
www.networkassociates.com
avp.com
www.kaspersky.com
www.avp.com
kaspersky.com
www.f-secure.com
f-secure.com
viruslist.com
www.viruslist.com
liveupdate.symantecliveupdate.com
mcafee.com
www.mcafee.com
sophos.com
www.sophos.com
symantec.com
securityresponse.symantec.com
www.symantec.com
