病毒名称(中文):
燕子
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
122880
影响系统:
Win9xWinNT
病毒行为:
该病毒通过共享、电子邮件等多种方式传播,病毒的文件名仿冒孙燕姿的的歌曲(如:Huai_Tian_QiTao_Wang),诱使用户打开运行,打开后会弹出一个“NoWindows.Yesdoorsandholes”内容的对话框。病毒还会尝试从网上下载一个键盘记录木马,窃取用户的信息。
1、在创建如下文件:
C:\Yanzi.htm
%SystemRoot%\Sun_YanZI.zip(为含有病毒的压缩包,包内的名称为:Sun_Yan_Zi-Shen_Qi.mp3.pif)
%System%\Dong_Shi.exe(病毒自身拷贝)
%System%\NvCpl.EXE(病毒自身拷贝)
%System%\I_am_Sun_Yanzi.sysa(MIME编码的病毒)
%System%\Huai_Tian_Q1.sys(包含有病毒的MIME的压缩包)
YanZi.vbs(生成Sun.exe)文件
2、在注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加如下键值
"NvCpl"=%System%\NvCpl.EXE
3、在所有含有SHAR的文件夹内复制自身,文件名可能如下之一:
SunYanZi.mp3.exe
Sun_YanZi-Huai_Tian_Qi.mpg.exe
Sun_YanZi-I_am_not_sad.mp3.exe
Sun_YanZi-Leave_me_alone.mp3.exe
Sun_YanZi-Mei_You_Ren_De_Fang_Xiang.avi.exe
Sun_YanZi-Shen_Qi.exe
Sun_YanZi-Tao_Wang.mpeg.exe
YanZi.Mp3.exe
YanZi_SuN-forever.mp3.exe
4、创建StefanieSunYanzi互斥量。
5、在如下文件中搜索电子邮件:
.adb
.asp
.dbx
.doc
.htm
.html
.jsp
.rtf
.txt
.xml
6、过滤含有以下字符的邮件地址:
@aksam
@dostmail
@e-kolay
@erdemir
@erdemironline
@hurriyetim
@milliyet
@mynet
@ntvmsnbc
@posta
@sabah
@superonline
7、邮件来自为以下之一:
Asia_Singer
Great_Asia_Singer
StefanieSunYanzi
Sun_YanZi
Sun_YanZi_Hayrani
Sun_Yan_Zi
8、邮件主题为以下之一:
ForeverSunYanzi
Great_Asia_Singer
Hoscakal
I_hate_Spyware
SuN_YanZi_innocent
Sun-YanZi-Mp3-Archive
Sun_YanZi_Hayrani
9、邮件内容为以下之一:
Icannotcontactyou.Because,Iamfartoyou(Turkiye)
IwanttomeetSunYanZi.IamlovingSun-YanZi"sMagic.CallmeYanZi.Butyoudon"tcontactme(Turkiye).
IwanttoseeSunYanZi.CallmeSunYanZi;)
MyFavouriteSingerisStefanieSunYanzi
PleaselistentomeStefanieSunYanzi.
YoumusttolistenSunYanzi.IamenjoyingtolistenSunYanZi.
10、附件名为以下之一:
Sun_YanZi
Huai_Tian_Qi
Sun_Yanzi_Mp3
Great_Asia_Singer
World_Tour_Sun_YanZi
11、附件扩展名为以下之一:
.zip
.scr
.pif
12、Sun.exe会尝试从网上(http://sunyanzi.*******.cn/****.exe)下载一个键盘记录器(Win32.Troj.AKL)用于记录用户键盘。
