分享
 
 
 

Worm.Swen

王朝other·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

赛文

病毒别名:

I-Worm.Swen[AVP],W32.Swen.A@mm[NAV],W32/Swen@mm[Mc

威胁级别:

★★★☆☆

病毒类型:

蠕虫病毒

病毒长度:

106496

影响系统:

Win9xWinNT

病毒行为:

金山毒霸反病毒应急中心于9月19日截获该蠕虫,该蠕虫使用VC编写,主要采用邮件传播,并利用点对点工具及聊天的文件共享功能进传播。蠕虫在发送带毒邮件时,使用随机的主题、内容和附名称,非凡是主题,多以退信、微软公司发布的补丁升级程序的形式发送。

1.复制病毒体和利用ZIP或RAR压缩的病毒体到%SystemRoot%中,文件名随机。同时,在%SystemRoot%中生成两个文件Germs0.dbv和Swen1.dat,用来存放病毒搜索到的Email地址和Mail服务器列表。

2.病毒会大量修改注册表:

在注册表的主键:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

中添加如下键值:

"<随机字符>"="<随机字符>autorun"

以使病毒能在系统重启后继续运行。

在注册表的主键:

修改如下键值:

HKEY_CLASS_ROOT\<???>file\shell\open\command(其中<???>为exe,com,pif,bat)

修改如下键值:

默认="<病毒文件名>"%%1"%%*"

在注册表的主键:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explore下添加项,项名为<随机字符>。

修改注册表中HKEY_CLASS_ROOT下相应子键键值,将.exe/.reg/.scr/.com/.bat/.pif文件关联为病毒文件。

最后,在注册表的主键:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

修改如下键值:

"DisableRegistryTools"="1"(缺省为0)

用来禁止用户使用注册表编辑器:regedit.exe。

3.大量发送带毒电子邮件,多以退信、微软公司发布的补丁升级程序的名义发送。同时,病毒邮件利用IE的IFRAME漏洞可以在用户不打开附件的情况下就可以自动下载到本地,并且立即执行。另外,蠕虫还会向它指定的新闻组发送带病毒的邮件。

4.通过KazaA点对点工具的文件共享功能进行传播,蠕虫会拷贝复本到该软件指定的共享文件夹中。

5.通过IRC聊天工具的文件共享功能进行传播,蠕虫会拷贝复本到该软件指定的共享文件夹中。

6.通过网络共享进行传播,蠕虫会查找网络中的共享文件夹,尝试将复本拷贝到这些系统中的以下文件夹内:

对于Win9x:

\Windows\StartMenu\Programs\Startup

对于Win2000/WinXP

\DocumentsandSettings\<被感染系统的登录用户名>\StartMenu\Programs\Startup

假如登录用户名为:administrator,则该文件夹为:

\DocumentsandSettings\Administrator\StartMenu\Programs\Startup

对于WinNT:

\Winnt\Profiles\<被感染系统的登录用户名>\StartMenu\Programs\Startup

假如登录用户名为:administrator,则该文件夹为:

\DocumentsandSettings\Administrator\StartMenu\Programs\Startup

7.假如执行的病毒是以字母q、u、p、i开头的文件名,病毒将弹出对话框“MicrosoftInternetUpdatePack”,

无论选择那个按钮,病毒都将安装自己。

8.病毒会周期性的出现一个提示框,假装是MAPI32Exception出错,并要求用户输入“用户名”,“口令”,“POP3”,“SMTP”等信息,试图盗取用户邮箱帐号密码。

9.当执行某一程序时可能会出现以下系统提示,表示系统出错,实则为禁止某些系统程序的正常运行。

10.病毒还会有一个链节计数病毒运行的次数。

11.病毒会试图结束以下进程(都为反病毒程序和网络防火墙的进程):

Azonealarm

zapro

wfindv32

webtrap

vsstat

vshwin32

vsecomr

vscan

vettray

vet98

vet95

vet32

vcontrol

vcleaner

tds2

tca

sweep

sphinx

serv95

safeweb

rescue

regedit

rav

pview

pop3trap

persfw

pcfwallicon

pccwin98

pccmain

pcciomon

pavw

pavsched

pavcl

padmin

outpost

nvc95

nupgrade

nupdate

normist

nmain

nisum

navw

navsched

navnt

navlu32

navapw32

nai_vs_stat

msconfig

mpftray

moolive

luall

lookout

lockdown2000

kpfw32

jedi

iomon98

iface

icsupp

icssuppnt

icmoon

icmon

icloadnt

icload95

ibmavsp

ibmasn

iamserv

iamapp

gibe

f-stopw

frw

fp-win

f-prot95

fprot95

f-prot

fprot

findviru

f-agnt95

espwatch

esafe

efinet32

ecengine

dv95

claw95

cfinet

cfind

cfiaudit

cfiadmin

ccshtdwn

ccapp

bootwarn

blackice

blackd

avwupd32

avwin95

avsched32

avp

avnt

avkserv

avgw

avgctrl

avgcc32

ave32

avconsol

autodown

apvxdwin

aplica32

anti-trojan

ackwin32

_avp

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有