引用 | 編輯
HK003
2005-03-23 19:24 |
樓主
|
||
x0
別名WORM_FATSO.A, W32/Crog.worm, IM-Worm.W32.Sumom.a, , Sumom.A, W32/Sumom-A, Win32.Sumom.A, Win32/Bropia.17429!Worm, Win32.Bropia.U 內容 W32.Serflog.A 是一種常駐於記錄體的蠕蟲,它經由 MSN Messenger 散播。當系統受到感染,它會傳遞即時訊息給所有在線的 MSN messenger 連絡人,而訊息包含一個連結用來下載蠕蟲到連絡人的系統。它也可以經由eMule 和點對點檔案共享程式散播。 當瀏覽互聯網時,若使用者存取防毒軟件和電腦保安公司相關的網址時,會被蠕蟲重新導向到特定的網址。 蠕蟲會儲存一個名為 "Crazy-Frog.Html" 檔案到系統的根目錄並執行它,然後會在以下的網址顯示一個大圖像: 它亦會存取以下的網址(用來計算全球受蠕蟲感染的人數)和顯示在 Crazy-Frog.Html 檔案的底部: http://udjc.com/coun<BLOKCED>r/index.php?u=yyyyyyyyyyyy&s=bluesky 蠕蟲會儲存一個名為 Message to n00b LARISSA.txt 檔案到系統的根目錄並執行它。它可能包含以下的訊息: "Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking Saving the world from Bropia, the world n33ds saving from you! '-S-K-Y-'-D-E-V-I-L-'" 此外,它也會儲存一個名為 "British National Party.jpg" 檔案,由受感染系統的預設影像檢視器開啟。 破壞力 1. 它經由 MSN Messenger 傳送訊息給所有尋找到的 MSN 連絡人。 2. 蠕蟲複製自己到以下的視窗系統資料夾: %windir%\formatsys.exe %windir%\serbw.exe %windir%\msmbw.exe %windir%\lspt.exe 它嘗試下載以下檔案到系統的根目錄 (如 C:\ ): Annoying crazy frog getting killed.pif Crazy frog gets killed by train!.pif Fat Elvis! lol.pif How a Blonde Eats a Banana...pif Jennifer Lopez.scr LOL that ur pic!.pif lspt.exe Me on holiday!.pif Mona Lisa Wants Her Smile Back.pif My new photo!.pif See my lesbian friends.pif The Cat And The Fan piccy.pif Topless in Mini Skirt! lol.pif Crazy-Frog.Html Message to n00b LARISSA.txt Crazy-Frog.Html British National Party.jpg 3. 當蠕蟲檔案被執行時,它會建立以下登錄索引值: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run%Random Value% = "%Windows%\msmbw.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run%Random Value% = "%Windows%\msmbw.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices%Random Value% = "%Windows%\msmbw.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run%Random Value% = "%Windows%\msmbw.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run%Random Value% = "%Windows%\msmbw.exe" * "%Random Value%" 可能是以下其中一個: ltwob serpe avnort 4. 蠕蟲會加入或更改以下的登錄索引值來啟動視窗的系統還原工具程式: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestoreDisableSR = "0"DisableConfig = "0" 5. 它會經 eMule 和點對點檔案共享程式來傳播。它複製自己和命名為以下的檔案名稱並儲存到受感染系統的資料夾 "%Program Files%\Program Files\eMule\Incoming\ ","%Root%\My Shared folder" 和 <User Profile>\Shared folder: Messenger Plus! 3.50.exe MSN all version polygamy.exe MSN nudge bomb.exe 6. 它會更改 HOSTS 檔案令使用者嘗試存取以下防毒軟件和電腦保安公司相關的網址時,將受感染的使用者重新導向到 "64.233.167.104": www.symantec.com www.sophos.com www.mcafee.com www.viruslist.com www.f-secure.com www.avp.com www.kaspersky.com www.networkassociates.com www.ca.com www.my-etrust.com www.nai.com www.trendmicro.com www.grisoft.com securityresponse.symantec.com symantec.com sophos.com mcafee.com liveupdate.symantecliveupdate.com viruslist.com f-secure.com kaspersky.com kaspersky-labs.com avp.com networkassociates.com ca.com mast.mcafee.com my-etrust.com download.mcafee.com dispatch.mcafee.com secure.nai.com nai.com update.symantec.com updates.symantec.com us.mcafee.com liveupdate.symantec.com customer.symantec.com rads.mcafee.com trendmicro.com grisoft.com sandbox.norman.no www.pandasoftware.com uk.trendmicro-europe.com 7. 它嘗試終止以下系統上運行的程序: apvxdwin.exe atupdater.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avconsol.exe avengine.exe avsynmgr.exe avwupd32.exe avxquar.exe bawindo.exe blackd.exe ccapp.exe ccevtmgr.exe ccproxy.exe ccpxysvc.exe cfiaudit.exe cmd.exe CmdPrompt32.pif defwatch.exe drwebupw.exe escanh95.exe escanhnt.exe firewall.exe frameworkservice.exe icssuppnt.exe icsupp95.exe LOVE_LETTER_FOR_YOU.pif luall.exe lucoms~1.exe mcagent.exe mcshield.exe mcupdate.exe mcvsescn.exe mcvsrte.exe mcvsshld.exe msconfig.exe msdev.exe MSLARISSA.pif navapsvc.exe navapw32.exe nisum.exe nopdb.exe nprotect.exe nupgrade.exe ollydbg.exe outpost.exe pavfires.exe pavproxy.exe pavsrv50.exe peid.exe petools.exe regedit.exe reshacker.ex*e rtvscan.exe rulaunch.exe savscan.exe shstat.exe sndsrvc.exe SP00Lsv32.pif symlcsvc.exe taskmgr.exe Update.exe updaterui.exe vshwin32.exe vsstat.exe vstskmgr.exe w32dasm.exe winhex.exe WinVBS.vbs wscript.exe 還會嘗試終止視窗標題含有以下字串的程序: -CILLIN ADWARE ALERTS ANTI AUTOSTARTED Avg BENIGN BLOCKER BUG BULLGUARD BUSTER CENTER CLEANER CMD Command DESTROY DETECTION DOCTOR EARTHLINK EDITOR ELIMINATE EYE FIGHT Filter FIREWALL FIX FIXING HEAL HELP HUNTER KERIO Kill LABS LIVEUPDATE MALWARE MALWHERE MCAFEE NETCOP NOD32 NORTON PANDA PROCESS!A PROMPT PROTECTOR REGISTRY REMOVAL RESTORE SANDBOX SCAN SECURE SECURITY SOPHOS SPY SPYBOT SPYWARE STOPPER SWEEPER TASK TOOL TREND Update VCATCH VIRUS WATCH WORM 當程序被終止時,蠕蟲仍然在記錄體運行期間會防止這些程序再次執行,它並會防止視窗檔案總管瀏覽儲存這個正在執行的蠕蟲程式副本的資料夾。 8. 它嘗試經由 CDs 傳播。蠕蟲會儲存以下檔案到 "C:\Documents and Settings\%Username%\Local Settings\Application Data\Microsoft\CD Burning\ directory": AUTORUN.EXE AUTORUN.INF 解決方案 偵測及清除蠕蟲 電腦病毒防護軟件供應商已提供了新病毒清單去偵察及清除此病毒。 如果你沒有安裝任何電腦病毒防護軟件,你可以下載以下清除病毒的工具程式進行清除。 Symantec http://securityresponse.symantec.com/avcenter/FixSflog.exe 注意:請根據防毒軟件公司的指引來清除病毒和修復系統。 x0
|