荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: gordonlot (非典型病毒), 信区: Virus
标 题: 蠕虫"赛文"(Worm.Swen)分析报告
发信站: 荔园晨风BBS站 (Fri Sep 19 22:59:51 2003), 站内信件
病毒名称: Worm.Swen
病毒长度: 106496
中文名称: 赛文
病毒别名: W32.Swen.A@mm[诺顿]、W32/Swen@mm[McAfee]、四维I-Worm/Swen[江民]
病毒类型: 蠕虫
威胁级别: 高
金山毒霸反病毒应急中心于9月
19日截获该蠕虫,该蠕虫使用VC编写,主要采用邮件传播,并利用点对点工具及聊
天的文件共享功能进传播。蠕虫在发送带毒邮件时,使用随机的主题、内容和附名
称,特别是主题,多以退信、微软公司发布的补丁升级程序的形式发送。
传播途径:
1、发送带毒电子邮件,多以退信、微软公司发布的补丁升级程序
的形式发送。病毒邮件利用IE的IFRAME漏洞可以在用户不打开附件的情况下就可以
自动下载到本地,并且立即执行。
2、通过KazaA点对点工具的文件共享功能
进行传播,蠕虫会拷贝复本到该软件指定的共享文件夹中
3、通过IRC聊天工
具的文件共享功能进行传播,蠕虫会拷贝复本到该软件指定的共享文件夹中
4、通过网络共享进行传播,蠕虫会查找网络中的共享文件夹,尝试将复本拷贝到
这些系统中的以下文件夹内:
对于Win9x:
\Windows\Start Menu\Programs\Startup
对于Win2000/WinXP
\Documents and
Settings\<被感染系统的登录用户名>\Start Menu\Programs\Startup
如果登录用户名为:administrator,则该文件夹为:
\Documents and
Settings\Administrator\Start Menu\Programs\Startup
对于WinNT
\Winnt\Profiles\<被感染系统的登录用户名>\Start Menu\Programs\Startup
如果登录用户名为:administrator,则该文件夹为:
\Documents and
Settings\Administrator\Start Menu\Programs\Startup
5、蠕虫还会向它指定的自闻组发送带病毒的邮件
技术特征:
0、如果执行的病毒是以
字母q、u、p、i开头的文件名,病毒将弹出对话框“Microsoft Internet
Update Pack", 无论选择那个按钮,病毒都将安装自己。如图:
1.复制病毒体到%SystemRoot%中,文件名随机。
2.在%SystemRoot%中生成两个文
件Germs0.dbv和Swen1.dat,用来存放病毒搜索到的Email地址和Mail服务器列表
3.在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中加载启
动项
4.修改.exe/.reg/.scr/.com/.bat/.pif文件的关联
5.将
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Sys
tem中的
"DisableRegistryTools" = "0"修改为"DisableRegistryTools" =
"1"用来禁用regedit。6.会试图结束以下进程,这些进程都为反病毒程序和网络
防火墙: Azonealarm
zapro
wfindv32
webtrap
vsstat
vshwin32
vsecomr
vscan
vettray
vet98
vet95
vet32
vcontrol
vcleaner
tds2
tca
sweep
sphinx
serv95
safeweb
rescue
regedit
rav
pview
pop3trap
persfw
pcfwallicon
pccwin98
pccmain
pcciomon
pavw
pavsched
pavcl
padmin
outpost
nvc95
nupgrade
nupdate
normist
nmain
nisum
navw
navsched
navnt
navlu32
navapw32
nai_vs_stat
msconfig
mpftray
moolive
luall
lookout
lockdown2000
kpfw32
jedi
iomon98
iface
icsupp
icssuppnt
icmoon
icmon
icloadnt
icload95
ibmavsp
ibmasn
iamserv
iamapp
gibe
f-stopw
frw
fp-win
f-prot95
fprot95
f-prot
fprot
findviru
f-agnt95
espwatch
esafe
efinet32
ecengine
dv95
claw95
cfinet
cfind
cfiaudit
cfiadmin
ccshtdwn
ccapp
bootwarn
blackice
blackd
avwupd32
avwin95
avsched32
avp
avnt
avkserv
avgw
avgctrl
avgcc32
ave32
avconsol
autodown
apvxdwin
aplica32
anti-trojan
ackwin32
_avp
7.病毒会周期性的出现一个提
示框,假装是MAPI32 Exception出错,如图:
并要求用户输入“用户名”“口令”“POP3”“SMTP”等信息。
8.当执行某一程序时可能会出现以
下系统提示,表示系统出错,实则为禁止某些系统程序的正常运行,如图:
这其实是病毒发出的欺骗信息,并不是真正的系统程序出错
9.病毒会有一个链节计数病毒运行的次数,如图:
解决方案:
该病毒
使用病毒名、注册表中启动项的键值都会使用随机的,所以手工清除会有一定的困
难,建议各位网络用户采用以下方法对病毒进行清除。
方法一:请使用9月
19日病毒库版本的金山毒霸查杀该蠕虫病毒,然后使用“注册表修复工具”修复病
毒所改动的文件关联。
“注册表修复工具”下载地址:http://www.duba.
net/download/3/8.shtml
方法二:使用“金山毒霸斯温专杀工具”可以完
全处理该蠕虫病毒,包括回恢病毒把修改的注册表项。
专杀工具下载地址:
http://www.duba.net/download/3/94.shtml .
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.79.86]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店