病毒名称(中文):
笑哈哈
病毒别名:
I-Worm.Welyah[AVP],W32.Shoho@mm[NAV],W32/Shoho.b
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
110592
影响系统:
Win9xWinNT
病毒行为:
该蠕虫病毒通过电子邮件传播,它利用了微软Iframe漏洞,一旦预览或打开带毒邮件,其附件病毒程序README.TXT<随机数量的空格>.pif就会自动运行。附件程序乍一看来好似README.TXT文件,其实它的真正扩展名是.pif(一种32位的PE文件格式)。该蠕虫是用VisualBasic6编写的。
1.病毒附件被执行后,它会将WINL0G0N.EXE(注重:0是零,并非字母O)文件拷贝至%SystemRoot%及%System%目录下。同时可能在本地系统进行添加或删除文件。
可能删除的文件(Win9x系统)如下:
email.txt
emailinfo.txt
c:\WINDOWS\DRWATSON
c:\WINDOWS\DRWATSON\FRAME.HTM
c:\WINDOWS\email.txt
c:\WINDOWS\SYSTEM\WINL0G0N.EXE
c:\WINDOWS\WINL0G0N.EXE
可能删除的文件(Win9x系统)如下:
c:\WINDOWS\1STBOOT.BMP
c:\WINDOWS\ASD.EXE
c:\WINDOWS\CLEANMGR.EXE
c:\WINDOWS\CLSPACK.EXE
c:\WINDOWS\CONTROL.EXE
c:\WINDOWS\CVTAPLOG.EXE
c:\WINDOWS\DEFRAG.EXE
c:\WINDOWS\DOSREP.EXE
c:\WINDOWS\DRWATSON.EXE
c:\WINDOWS\DRWATSON
c:\WINDOWS\DRWATSON\FRAME.HTM
c:\WINDOWS\EMM386.EXE
c:\WINDOWS\HIMEM.SYS
c:\WINDOWS\HWINFO.EXE
c:\WINDOWS\JAUTOEXP.DAT
c:\WINDOWS\Kacheln.bmp
c:\WINDOWS\Kreise.bmp
c:\WINDOWS\LICENSE.TXT
c:\WINDOWS\LOGOS.SYS
c:\WINDOWS\LOGOW.SYS
c:\WINDOWS\MORICONS.DLL
c:\WINDOWS\NDDEAPI.DLL
c:\WINDOWS\NDDENB.DLL
c:\WINDOWS\NETDET.INI
c:\WINDOWS\RAMDRIVE.SYS
c:\WINDOWS\RUNHELP.CAB
c:\WINDOWS\SCRIPT.DOC
c:\WINDOWS\Setup.bmp
c:\WINDOWS\SMARTDRV.EXE
c:\WINDOWS\Streifen.bmp
c:\WINDOWS\SUBACK.BIN
c:\WINDOWS\SUPPORT.TXT
c:\WINDOWS\TELEPHON.INI
c:\WINDOWS\W98SETUP.BIN
c:\WINDOWS\Wellen.bmp
c:\WINDOWS\WIN.COM
c:\WINDOWS\WIN.INI
c:\WINDOWS\WINSOCK.DLL
其中添加的emailinfo.txt文件当中包含有预备发往SMTP服务器的邮件,而email.txt是一个MIME文件,它包含编码为WINL0G0N.EXE的Base64及iframe漏洞。
2.此蠕虫有它自己的SMTP引擎,能够建立SMTP连接。它还会查找硬盘中所有包含邮件地址的文件(如*.eml,*.wab等),一旦找到便会保存在emailinfo.txt文件当中。然后向保存在该文件中的所有地址发送带毒邮件:
主题为“WelcometoYahoo!Mail”的邮件。
主题:WelcometoYahoo!Mail
附件:Readme.txt<随机数量的空格>.pif
3.病毒会在注册表中以下子键中:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
添加如下键值以便使自己能够在系统重启后运行:
"WINL0G0N"="c:\windows\WINL0G0N.EXE"
4.当系统重新启动时,WINL0G0N.EXE文件自动执行,并可能导致常规性保护错误,而同时由于一些文件被删,系统可能无法正确启动Windows,这种情况在Win9x上会出现,而在WinNT系统上还未碰到。但在任何系统上,例行的收发邮件可能会不正常。
