病毒名称(中文):
恶鹰
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
57935
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个会通过邮件发送自己的蠕虫病毒,它还能通过驱动隐藏自己在系统中的信息,
使用户无法察觉病毒的存在。
1:拷贝文件
C:\DocumentsandSettings\fish\ApplicationData\hidn\hldrrr.exe
C:\DocumentsandSettings\fish\ApplicationData\hidn\hidn2.exe
释放驱动
C:\DocumentsandSettings\fish\ApplicationData\hidn\m_hook.sys
2:显示信息
病毒完成自拷贝后,会在C盘根目录下创建一个error.txt的文档,
里面写入"UTF-8decodingerror."的信息,之后会用记事本打开该文档,
再加上病毒本身的图标是一个记事本文档的图标,使用户误以为是打开了
格式错误的txt文档.
3:添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
drv_st_key->C:\DocumentsandSettings\fish\ApplicationData\hidn\hidn2.exe
使病毒能自启动
3:驱动隐藏
病毒使用了系统级的HOOK,更改特定几个函数的地址,使其指向自己的驱动文件
实现隐藏自己所有的信息的目的,使病毒无法被找到
被HOOK的函数如下:
NtCreateFile
NtEnumeraterKey
NtEnumerateValueKey
NtQueryDirectoryFile
NtQueryKey
NtQuerySystemInformation
4:发邮件
病毒会枚举OutLook地址本中的所有地址,并往地址上发送附带了自己本体的邮件
邮件标题为price_new,price_,price,new,price的随机组合
邮件内容为
ItisProtected
thankyou!!!
Newyear(日期)"sdiscounts
病毒还会在信里面附加一个网址,地址为
http://ujscie.***.pl/999.gif
http://1point2.***.nl/999.gif
http://apro***.com/999.gif
......(还有很多,病毒随机选一个添加)
这些地址都已经失效,很有可能是病毒的其它版本的下载地址.
之后病毒会使用网上的邮件发送引擎发送邮件,发送引擎如下:
http://vera********.com/1/eml.php
http://www.titan******.com/images/1/eml.php
http://yong*****.co.kr/1/eml.php
......
把自已加入邮件的附件中,发送到Outlook地址部上的所有地址
不发送到ser******@gmail.com