病毒名称(中文):
负鼠
病毒别名:
Email-Worm.Win32.Opossum.a[AVP]
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
23593
影响系统:
Win9xWinNT
病毒行为:
这是一个通过电子邮件、网络共享和二款IRC聊天软件(mIRC和PIRCH98)传播的蠕虫病毒。该病毒采用了WORD文档的图标,取了个比较有吸引力的名字,用户很可能误以为这是一个WORD文档而好奇地去打开它,从而感染该病毒。该病毒发作的时候会将自己拷贝到系统目录、临时目录和桌面,这些病毒副本也都采用WORD文档的图标,因此非常具有欺骗性。该病毒会修改.exe、.key、.ini和.reg的文件关联到病毒文件,使得每次打开这些类型文件的时候该病毒都会得到运行。病毒会禁止使用“运行”和“文件夹选项”,并共享系统磁盘。每月的1号、15号、25号该病毒都会尝试关闭系统,但由于某种原因这个动作并没有得到实施。通过在mIRC和PIRCH98的脚本配置文件中写入一些内容,使得该病毒也能通过这二个IRC聊天系统传播。病毒会以Microsoft的名义回复Outlook里面的邮件,这些邮件都带有病毒的副本,邮件正文欺骗用户打开附件,导致感染病毒。
病毒文件:
禁止使用“文件夹选项”:
1)将病毒拷贝到:
桌面\Sir.d4ng3
%Temp%\help32.exe
%SystemDriver%\ntdetect32.exe
%SystemDriver%\Trash\svchost.exe
%System%\regedit.exe
%System%\regedit32.exe
%System%\regscan32.exe
%System%\Preventivo.doc[若干个空格].pif
%System%\Documents.doc[若干个空格].pif
%System%\Documento.doc[若干个空格].pif
%System%\logo10090.gif[若干个空格].pif
%System%\excel_file.doc[若干个空格].pif
%SystemRoot%\598
%SystemRoot%\w32.exe
%SystemRoot%\regedit.exe
%SystemRoot%\regedit32.exe
%SystemRoot%\ntdetect32.exe
2)在注册表中为病毒添加启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"NetSyStem"="Sir.d4ng3"
"Microsoft"="%SystemRoot%\w32.exe"
"ScanRegistry"="%System%\regscan32.exe"
(Default)="%Temp%\help32.exe"
"Trash"="%SystemDriver%\Trash\svchost.exe"
"[随机名称]"="%SystemRoot%\598"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
(Default)="%SystemRoot%\ntdetect32.exe"
3)修改.reg、.key、.ini和.exe的文件关联到病毒文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open
"command"="D4nG3"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\keyfile\shell\open
"command"="D4nG3"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open
"command"="D4nG3"
HKEY_CLASSES_ROOT\.d4ng3
(Default)="exefile"
HKEY_CLASSES_ROOT\.d4ng3\PersistentHandler
(Default)="{098f2470-bae0-11cd-b579-08002b30bfeb}"
4)禁止使用“运行”和“文件夹选项”,并共享系统磁盘。
5)每月的1号、15号、25号该病毒都会尝试关闭系统,但由于某种原因这个动作并没有得到实施。
6)向mIRC的脚本配置文件script.ini中写入以下内容,使得病毒能通过该系统传播:
[script]
n0=ON1:JOIN:#:/dccsend$nick[源病毒路径]
7)向PIRCH98的脚本配置文件events.ini中写入以下内容,使得病毒能通过该系统传播:
[Levels]
Enabled=1
Count=6
Level1=000-Unknowns
000-UnknownsEnabled=1
Level2=100-Level100
100-Level100Enabled=1
Level3=200-Level200
200-Level200Enabled=1
Level4=300-Level300
300-Level300Enabled=1
Level5=400-Level400
400-Level400Enabled=1
Level6=500-Level500
500-Level500Enabled=1
[000-Unknowns]
User1=*!*@*
UserCount=1
Event1=ONJOIN:#:/msg$nickHithere
EventCount=1
[100-Level100]
User1=*!*@*
UserCount=1
Event1=ONJOIN:#:/dccsend$nick[源病毒路径]
EventCount=1
[200-Level200]
UserCount=0
EventCount=0
[300-Level300]
UserCount=0
EventCount=0
[400-Level400]
UserCount=0
EventCount=0
[500-Level500]
UserCount=0
EventCount=0
8)以Microsoft的名义(support@microsoft.com)给Outlook里面的邮件回信:
取下面的某一行做为邮件的主题:
MicrosoftUpdatesNews
SecurityUpdatesNews
ServicePack2UpdatesNews
SystemUpdatesNews
MicrosoftOperatingSystemUpdatesNews
Microsoft"sbigsecurityUpdateNews
UpdateNews
MicrosoftNews
MicrosoftUpdateNewsLetter
MicrosoftSecurityUpdatesNews
邮件正文:
Servicepack2isduesoonformicrosoftusers,Bugfixes,internetexplorerpatchesandNEWsecurityfeatures.Pleasereadmorefromthefileattcahedtothismicrosoftnewsletter.
取下面的某一行做为邮件附件名:
Preventivo.doc[若干个空格].pif
Documents.doc[若干个空格].pif
Documento.doc[若干个空格].pif
logo10090.gif[若干个空格].pif
excel_file.doc[若干个空格].pif
9)通过修改注册表为病毒的运行创造条件:
HKEY_LOCAL_MACHINE\Software
"sshare"="InProgress.."
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Shares
"garbage"="CSCFlags=0"
HKEY_CURRENT_USER\Identities\{10C488D7-43C5-4D55-A9B3-F49C852C64C8}\Software\Microsoft\OutlookExpress\5.0\Mail
"WarnonMapi"=0x0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"DisallowRun"="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
"1"="regedit.exe"
"2"="taskmgr.exe"
"3"="notepad.exe"
"4"="wordpad.exe"
"5"="write.exe"
"6"="wuauclt.exe"
"7"="msconfig.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoFolderOptions"=0x1
"NoWinKeys"=0x1
"NoViewContextMenu"=0x1
"NoClose"=0x1
"NoSetFolders"=0x1
"NoRun"=0x1
"NoFind"=0x1