病毒名称(中文):
赛文
病毒别名:
I-Worm.Swen[AVP],W32.Swen.A@mm[NAV],W32/Swen@mm[Mc
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
106496
影响系统:
Win9xWinNT
病毒行为:
金山毒霸反病毒应急中心于9月19日截获该蠕虫,该蠕虫使用VC编写,主要采用邮件传播,并利用点对点工具及聊天的文件共享功能进传播。蠕虫在发送带毒邮件时,使用随机的主题、内容和附名称,非凡是主题,多以退信、微软公司发布的补丁升级程序的形式发送。
1.复制病毒体和利用ZIP或RAR压缩的病毒体到%SystemRoot%中,文件名随机。同时,在%SystemRoot%中生成两个文件Germs0.dbv和Swen1.dat,用来存放病毒搜索到的Email地址和Mail服务器列表。
2.病毒会大量修改注册表:
在注册表的主键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
中添加如下键值:
"<随机字符>"="<随机字符>autorun"
以使病毒能在系统重启后继续运行。
在注册表的主键:
修改如下键值:
HKEY_CLASS_ROOT\<???>file\shell\open\command(其中<???>为exe,com,pif,bat)
修改如下键值:
默认="<病毒文件名>"%%1"%%*"
在注册表的主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explore下添加项,项名为<随机字符>。
修改注册表中HKEY_CLASS_ROOT下相应子键键值,将.exe/.reg/.scr/.com/.bat/.pif文件关联为病毒文件。
最后,在注册表的主键:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
修改如下键值:
"DisableRegistryTools"="1"(缺省为0)
用来禁止用户使用注册表编辑器:regedit.exe。
3.大量发送带毒电子邮件,多以退信、微软公司发布的补丁升级程序的名义发送。同时,病毒邮件利用IE的IFRAME漏洞可以在用户不打开附件的情况下就可以自动下载到本地,并且立即执行。另外,蠕虫还会向它指定的新闻组发送带病毒的邮件。
4.通过KazaA点对点工具的文件共享功能进行传播,蠕虫会拷贝复本到该软件指定的共享文件夹中。
5.通过IRC聊天工具的文件共享功能进行传播,蠕虫会拷贝复本到该软件指定的共享文件夹中。
6.通过网络共享进行传播,蠕虫会查找网络中的共享文件夹,尝试将复本拷贝到这些系统中的以下文件夹内:
对于Win9x:
\Windows\StartMenu\Programs\Startup
对于Win2000/WinXP
\DocumentsandSettings\<被感染系统的登录用户名>\StartMenu\Programs\Startup
假如登录用户名为:administrator,则该文件夹为:
\DocumentsandSettings\Administrator\StartMenu\Programs\Startup
对于WinNT:
\Winnt\Profiles\<被感染系统的登录用户名>\StartMenu\Programs\Startup
假如登录用户名为:administrator,则该文件夹为:
\DocumentsandSettings\Administrator\StartMenu\Programs\Startup
7.假如执行的病毒是以字母q、u、p、i开头的文件名,病毒将弹出对话框“MicrosoftInternetUpdatePack”,
无论选择那个按钮,病毒都将安装自己。
8.病毒会周期性的出现一个提示框,假装是MAPI32Exception出错,并要求用户输入“用户名”,“口令”,“POP3”,“SMTP”等信息,试图盗取用户邮箱帐号密码。
9.当执行某一程序时可能会出现以下系统提示,表示系统出错,实则为禁止某些系统程序的正常运行。
10.病毒还会有一个链节计数病毒运行的次数。
11.病毒会试图结束以下进程(都为反病毒程序和网络防火墙的进程):
Azonealarm
zapro
wfindv32
webtrap
vsstat
vshwin32
vsecomr
vscan
vettray
vet98
vet95
vet32
vcontrol
vcleaner
tds2
tca
sweep
sphinx
serv95
safeweb
rescue
regedit
rav
pview
pop3trap
persfw
pcfwallicon
pccwin98
pccmain
pcciomon
pavw
pavsched
pavcl
padmin
outpost
nvc95
nupgrade
nupdate
normist
nmain
nisum
navw
navsched
navnt
navlu32
navapw32
nai_vs_stat
msconfig
mpftray
moolive
luall
lookout
lockdown2000
kpfw32
jedi
iomon98
iface
icsupp
icssuppnt
icmoon
icmon
icloadnt
icload95
ibmavsp
ibmasn
iamserv
iamapp
gibe
f-stopw
frw
fp-win
f-prot95
fprot95
f-prot
fprot
findviru
f-agnt95
espwatch
esafe
efinet32
ecengine
dv95
claw95
cfinet
cfind
cfiaudit
cfiadmin
ccshtdwn
ccapp
bootwarn
blackice
blackd
avwupd32
avwin95
avsched32
avp
avnt
avkserv
avgw
avgctrl
avgcc32
ave32
avconsol
autodown
apvxdwin
aplica32
anti-trojan
ackwin32
_avp