病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
87552
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个能通过电子邮件大量传播的蠕虫病毒。
该病毒能自动搜索用户机器上的邮件地址,把自己作为附件发送过去,达到传播的目的。还能搜集用户信息,如ip地址,操作系统类型等等,并发送到指定网站。还能随机生成局域网的ip地址,并对该主机进行DCOMRPC缓冲区溢出攻击,假如成功则把自身拷贝过去。病毒能修改host文件,使用户无法访问特定网站,给用户带来很大危害。
1,释放下列病毒文件:
c:\stealth.bszip.dll
c:\stealth.dcom.exe
c:\stealth.ddos.exe
c:\stealth.injector.exe
c:\stealth.shared.dll
c:\stealth.worm.exe
2,修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"stealth.exe"="C:\stealth.exe"
"stealth.dcom.exe"="C:\stealth.dcom.exe"
"stealth.ddos.exe"="C:\stealth.ddos.exe"
"stealth.injector.exe"="C:\stealth.injector.exe"
"stealth.stat.exe"="C:\stealth.stat.exe"
"stealth.wm.exe"="C:\stealth.wm.exe"
"stealth.worm.exe"="C:\stealth.worm.exe"
3,修改host文件
127.0.0.1ad.doubleclick.net
127.0.0.1ad.fastclick.net
127.0.0.1ads.fastclick.net
127.0.0.1ar.atwola.com
127.0.0.1atdmt.com
127.0.0.1avp.ch
127.0.0.1avp.com
127.0.0.1avp.com
127.0.0.1avp.ru
127.0.0.1awaps.net
127.0.0.1banner.fastclick.net
127.0.0.1banners.fastclick.net
127.0.0.1ca.com
127.0.0.1ca.com
127.0.0.1click.atdmt.com
127.0.0.1clicks.atdmt.com
127.0.0.1customer.symantec.com
127.0.0.1dispatch.mcafee.com
127.0.0.1dispatch.mcafee.com
127.0.0.1download.mcafee.com
127.0.0.1download.mcafee.com
127.0.0.1download.mcafee.com
127.0.0.1download.microsoft.com
127.0.0.1downloads.microsoft.com
127.0.0.1downloads1.kaspersky-labs.com
127.0.0.1downloads1.kaspersky-labs.com
127.0.0.1downloads1.kaspersky-labs.com/updates
127.0.0.1downloads2.kaspersky-labs.com
127.0.0.1downloads3.kaspersky-labs.com
127.0.0.1downloads4.kaspersky-labs.com
127.0.0.1downloads-us1.kaspersky-labs.com
127.0.0.1downloads-us2.kaspersky-labs.com
127.0.0.1downloads-us3.kaspersky-labs.com
127.0.0.1engine.awaps.net
127.0.0.1fastclick.net
127.0.0.1f-secure.com
127.0.0.1f-secure.com
127.0.0.1ftp.avp.ch
127.0.0.1ftp.downloads2.kaspersky-labs.com
127.0.0.1ftp.f-secure.com
127.0.0.1ftp.kasperskylab.ru
127.0.0.1ftp.sophos.com
127.0.0.1go.microsoft.com
127.0.0.1ids.kaspersky-labs.com
127.0.0.1kaspersky.com
127.0.0.1kaspersky-labs.com
127.0.0.1liveupdate.symantec.com
127.0.0.1liveupdate.symantec.com
127.0.0.1liveupdate.symantec.com
127.0.0.1liveupdate.symantecliveupdate.com
127.0.0.1liveupdate.symantecliveupdate.com
127.0.0.1localhost
127.0.0.1mast.mcafee.com
127.0.0.1mast.mcafee.com
127.0.0.1mcafee.com
127.0.0.1mcafee.com
127.0.0.1media.fastclick.net
127.0.0.1msdn.microsoft.com
127.0.0.1my-etrust.com
127.0.0.1my-etrust.com
127.0.0.1nai.com
127.0.0.1nai.com
127.0.0.1networkassociates.com
127.0.0.1networkassociates.com
127.0.0.1office.microsoft.com
127.0.0.1phx.corporate-ir.net
127.0.0.1rads.mcafee.com
127.0.0.1secure.nai.com
127.0.0.1secure.nai.com
127.0.0.1securityresponse.symantec.com
127.0.0.1securityresponse.symantec.com
127.0.0.1service1.symantec.com
127.0.0.1sophos.com
127.0.0.1sophos.com
127.0.0.1spd.atdmt.com
127.0.0.1support.microsoft.com
127.0.0.1symantec.com
等等.
4,随机生成局域网的ip地址,并对该主机进行DCOMRPC缓冲区溢出攻击,假如成功则把自身拷贝过去。
5,自动搜索用户机器上的邮件地址,利用outlook,把自己作为附件发送过去。
邮件内容:ZIPPASSWORD
附件:
下列当中的一种Document.zip
Foto.zip
Secret.zip
PORNO.zip
Tetris.zip
6,搜集用户信息,如ip地址,操作系统类型等等,并发送到指定网站。
