病毒名称(中文):
病毒别名:
Worm.Win32.Opasoft.a[AVP],W32/Opaserv.worm[McAfe
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
31232
影响系统:
Win9x
病毒行为:
这是一个带有后门程序的蠕虫,通过局域网与互联网传播。一旦运行该蠕虫病毒,它会复制自己到Windows目录,修改注册表使自己每次开机时都可自动运行,潜伏在被感染机器上。它搜索局域网中的共享“C\”,假如搜索成功,则利用MicrosoftWindows95/98/Me的一个系统漏洞,发送一个字符的密码即可获取该共享的存取权。然后它会发送自身到目标机器的WINDOWS目录中,并修改目标机器上的Win.ini,使蠕虫可以在目标机器重启后被激活。它还会访问指定的网站并从该网站下载新版本的蠕虫病毒并运行。
1.创建互斥体Alevir31415,防止病毒的多个实例运行。将自身的进程优先级设置为IDLE_PRIORITY_CLASS。
2.将自己复制为c:\windows\alevir.exe。
3.修改注册表:
添加注册表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"AlevirOld"="<病毒的原始路径>"
假如该表项已经存在,它就删除该表项所指向的原始文件。
添加注册表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Alevir"="%SystemRoot%\Alevir.exe"
4.它搜索局域网中的共享“C\”,假如搜索成功,则利用MicrosoftWindows95/98/Me的一个系统漏洞,发送一个字符
的密码即可获取该共享的存取权。它首先判定C:\是否存在文件Alevir.dat和AleSout.dat,以此作为感染的标志,假如
不存在它就会发送自身到目标机器的WINDOWS目录中,命名为alevir.exe。
它在目标机器上创建文件c:\put.ini,内容为:
run=c:\windows\alevir.exe
它在目标机器上的Win.ini文件中增加一行:
run=c:\put.ini
使蠕虫可以在目标机器重启后被激活。
关于该漏洞的补丁在:
http://www.microsoft.com/technet/security/bulletin/MS00-072.asp
5.它到指定的网站下载后门程序scrsvr.exe,假如成功则保存为puta!!.exe,然后再运行该程序。