病毒名称(中文):
病毒别名:
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
56808
影响系统:
Win9xWinNT
病毒行为:
该病毒通过电子邮件进行传播,病毒运行时,会弹出“WinZip_Data_Moduleismissing~Error:{2A0DCCF6}”对话框迷惑用户,病毒会搜索感染机器的电子邮件,然后发送大量病毒信件,可能会造成严重的网络堵塞。
1、在系统目录中生成如下文件:
%System%\clonzips.ssc(Base64编码)
%System%\zippedsr.piz(Base64编码)
%System%\clsobern.isc(Base64编码)
%System%\nonzipsr.noz(Base64编码)
%System%\%Rand1%.exe(病毒本身)
%System%\%Rand2%.exe(病毒本身)
2、在注册表中添加如下键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
%Rand3%="%System%\%Rand1%.exe"
%Rand4%="%System%\%Rand2%.exe%srun%"
3、病毒运行后,会弹出一个对话框,写有如下字符串:
“WinZip_Data_Moduleismissing~Error:{2A0DCCF6}”
4、病毒会从以下扩展名文件中搜索电子邮件地址
abc
abd
abx
adb
ade
adp
adr
aero
asp
bak
bas
cfg
cgi
cls
cms
com
coop
csv
ctl
dbx
dhtm
doc
dsp
dsw
edu
eml
fdb
frm
gov
hlp
imb
imh
imh
imm
inbox
info
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
museum
nab
name
nch
net
nfo
nsf
nws
ods
oft
org
php
pl
pmr
pp
ppt
pro
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml
5、病毒会过滤含有以下字符的电子邮件:
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@msn
@nai.
@panda
@smtp.
@sophos
@spiegel.
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
me@
mozilla
msdn.
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp@
office
password
postmas
reciver@
redaktion
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname
6、病毒发送邮件可能为以下之一(英文或德文):
主题:
hithere
heydude!
wazzup!!!
yeahdude:P
Details
OhGodit"s
damn!
Registrationconfirmation
Confirmation
YourPassword
Yourmailaccount
Deliveryfailurenotice
Faultymaildelivery
Maildeliveryfailed
MailingError
IllegalsignsinE-Mail
Invalidmaillength
MailDeliveryfailure
maildeliverystatus
Warning!
errorindbase
DBaseError
ups,i"vegotyourmail
Sorry,that"syourmail
whydoyoudothat?
Life"saBitch
SmilingLikeaKiller
lol,wat"nlosey?
Informationvon
FalscheMailzustellung
FehlerinIhrerE-Mail
IhreE-Mailwarfehlerhaft
ESMTPError
UngültigeVariableninihrerE-Mail
Verbindungwurdegetrennt
Mail_Fehler
IhrneuerAccount
NeueAccountDaten
Siehabennichtgezahlt
Rechnung
Hi,seivorsichtig!
Achtung!gefährlicherVirus!
Schongehört?
DieTools!
DeinZeug"s!
Hierfürdich^^
BestellungsBestätigung
Lieferungs-Bestätigung
Ok,hieristmein
Ichhabemichindichv
7、内容为以下的组合:
Iwassurprised,too!
Who_could_suspect_something_like_that?shityiiiii
Yourpasswordwaschangedsuccessfully!
Protectedmessageisattached!
_delivery_error
_does_not_like_
_failed_after_I_sent_the_message
_Requested_action_not_taken
Anti_Virus:NoViruswasfound
Attachment:NoVirusfound
disabled
discontinued
Giving_up_on_
Mail_Scanner:NoVirus
MAILBOXNOTFOUND
mailbox_unavailable
recipient.
Remote_host_said:
sender.
This_account_has_been_
DieseInformationistgesch
DaSieunsIhrePers
VielVergn
****
ImI-Netunter:http://www.%damin%
DieseInformationistgeschütztdurcheinPasswort!
DaSieunsIhrePersönlichenDatenzugesandthaben,istdasPasswortIhrGeburts-Datum.
VielVergnügenmitunseremAngebot!
****
ImI-Netunter:http://www.%damin%
FolgendeFehlerwurdenaufgezeichnet:
STOPmailer
AusDatenschutzrechtlichenGründen,darfdievollständigeE-Mailincl.Datennurangehängtwerden.
WirbittenSie,dieseszuberücksichtigen.
Automatic-Mail.Config#:
GutenTag,
daunsereDatenbankenleiderdurcheinenProgrammFehlerzerstörtwurden,musstenwirleidereineÄnderungbezüglichIhrerNutzungs-Datenvornehmen.IhregeändertenAccountDaten,befindenSieimbeigefügtenDokument.
VielenDankfürIhrVerständnis.
*-*-*Mail_Scanner:NoVirus
*-*-*%damin%-Anti_VirusService
*-*-*http://www.%damin%
++++++User-Service:http://www.%damin%
++++++MailTo:postmaster%damin%
------<>GmbH&Co.KG
------Send-To:Home-Service@.com
------www.%damin%
*-*-*X-MS_Scanner:KeinViruserkannt
*-*-*Attachment-Scanner:NOVIRUS
*-*-*Anti_Virus:EswurdekeinVirusgefunden
*-*-*<域名>-Anti_VirusService
*-*-*http://www.%damin%
8、附件名可能为以下之一:
%damin%
auto__mail
im_shocked
oh_nono
re_mail
thats_hard
9、扩展名可能为以下之一:
bat
com
doc
eml
exe
pif
scr
txt
word
xls
zip
10、该蠕虫用VB编写