分享
 
 
 

Worm.Opossum.a

王朝other·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

负鼠

病毒别名:

Email-Worm.Win32.Opossum.a[AVP]

威胁级别:

★★☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

23593

影响系统:

Win9xWinNT

病毒行为:

这是一个通过电子邮件、网络共享和二款IRC聊天软件(mIRC和PIRCH98)传播的蠕虫病毒。该病毒采用了WORD文档的图标,取了个比较有吸引力的名字,用户很可能误以为这是一个WORD文档而好奇地去打开它,从而感染该病毒。该病毒发作的时候会将自己拷贝到系统目录、临时目录和桌面,这些病毒副本也都采用WORD文档的图标,因此非常具有欺骗性。该病毒会修改.exe、.key、.ini和.reg的文件关联到病毒文件,使得每次打开这些类型文件的时候该病毒都会得到运行。病毒会禁止使用“运行”和“文件夹选项”,并共享系统磁盘。每月的1号、15号、25号该病毒都会尝试关闭系统,但由于某种原因这个动作并没有得到实施。通过在mIRC和PIRCH98的脚本配置文件中写入一些内容,使得该病毒也能通过这二个IRC聊天系统传播。病毒会以Microsoft的名义回复Outlook里面的邮件,这些邮件都带有病毒的副本,邮件正文欺骗用户打开附件,导致感染病毒。

病毒文件:

禁止使用“文件夹选项”:

1)将病毒拷贝到:

桌面\Sir.d4ng3

%Temp%\help32.exe

%SystemDriver%\ntdetect32.exe

%SystemDriver%\Trash\svchost.exe

%System%\regedit.exe

%System%\regedit32.exe

%System%\regscan32.exe

%System%\Preventivo.doc[若干个空格].pif

%System%\Documents.doc[若干个空格].pif

%System%\Documento.doc[若干个空格].pif

%System%\logo10090.gif[若干个空格].pif

%System%\excel_file.doc[若干个空格].pif

%SystemRoot%\598

%SystemRoot%\w32.exe

%SystemRoot%\regedit.exe

%SystemRoot%\regedit32.exe

%SystemRoot%\ntdetect32.exe

2)在注册表中为病毒添加启动项:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"NetSyStem"="Sir.d4ng3"

"Microsoft"="%SystemRoot%\w32.exe"

"ScanRegistry"="%System%\regscan32.exe"

(Default)="%Temp%\help32.exe"

"Trash"="%SystemDriver%\Trash\svchost.exe"

"[随机名称]"="%SystemRoot%\598"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

(Default)="%SystemRoot%\ntdetect32.exe"

3)修改.reg、.key、.ini和.exe的文件关联到病毒文件:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open

"command"="D4nG3"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\keyfile\shell\open

"command"="D4nG3"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open

"command"="D4nG3"

HKEY_CLASSES_ROOT\.d4ng3

(Default)="exefile"

HKEY_CLASSES_ROOT\.d4ng3\PersistentHandler

(Default)="{098f2470-bae0-11cd-b579-08002b30bfeb}"

4)禁止使用“运行”和“文件夹选项”,并共享系统磁盘。

5)每月的1号、15号、25号该病毒都会尝试关闭系统,但由于某种原因这个动作并没有得到实施。

6)向mIRC的脚本配置文件script.ini中写入以下内容,使得病毒能通过该系统传播:

[script]

n0=ON1:JOIN:#:/dccsend$nick[源病毒路径]

7)向PIRCH98的脚本配置文件events.ini中写入以下内容,使得病毒能通过该系统传播:

[Levels]

Enabled=1

Count=6

Level1=000-Unknowns

000-UnknownsEnabled=1

Level2=100-Level100

100-Level100Enabled=1

Level3=200-Level200

200-Level200Enabled=1

Level4=300-Level300

300-Level300Enabled=1

Level5=400-Level400

400-Level400Enabled=1

Level6=500-Level500

500-Level500Enabled=1

[000-Unknowns]

User1=*!*@*

UserCount=1

Event1=ONJOIN:#:/msg$nickHithere

EventCount=1

[100-Level100]

User1=*!*@*

UserCount=1

Event1=ONJOIN:#:/dccsend$nick[源病毒路径]

EventCount=1

[200-Level200]

UserCount=0

EventCount=0

[300-Level300]

UserCount=0

EventCount=0

[400-Level400]

UserCount=0

EventCount=0

[500-Level500]

UserCount=0

EventCount=0

8)以Microsoft的名义(support@microsoft.com)给Outlook里面的邮件回信:

取下面的某一行做为邮件的主题:

MicrosoftUpdatesNews

SecurityUpdatesNews

ServicePack2UpdatesNews

SystemUpdatesNews

MicrosoftOperatingSystemUpdatesNews

Microsoft"sbigsecurityUpdateNews

UpdateNews

MicrosoftNews

MicrosoftUpdateNewsLetter

MicrosoftSecurityUpdatesNews

邮件正文:

Servicepack2isduesoonformicrosoftusers,Bugfixes,internetexplorerpatchesandNEWsecurityfeatures.Pleasereadmorefromthefileattcahedtothismicrosoftnewsletter.

取下面的某一行做为邮件附件名:

Preventivo.doc[若干个空格].pif

Documents.doc[若干个空格].pif

Documento.doc[若干个空格].pif

logo10090.gif[若干个空格].pif

excel_file.doc[若干个空格].pif

9)通过修改注册表为病毒的运行创造条件:

HKEY_LOCAL_MACHINE\Software

"sshare"="InProgress.."

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Shares

"garbage"="CSCFlags=0"

HKEY_CURRENT_USER\Identities\{10C488D7-43C5-4D55-A9B3-F49C852C64C8}\Software\Microsoft\OutlookExpress\5.0\Mail

"WarnonMapi"=0x0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

"DisallowRun"="1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

"1"="regedit.exe"

"2"="taskmgr.exe"

"3"="notepad.exe"

"4"="wordpad.exe"

"5"="write.exe"

"6"="wuauclt.exe"

"7"="msconfig.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

"NoFolderOptions"=0x1

"NoWinKeys"=0x1

"NoViewContextMenu"=0x1

"NoClose"=0x1

"NoSetFolders"=0x1

"NoRun"=0x1

"NoFind"=0x1

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有