Worm.Stator.a
2008-02-23 09:20:43来源:互联网 阅读 ()
病毒名称:
Worm.Stator.a
类别: 蠕虫病毒
病毒资料:
破坏方法:
此病毒是一个网络蠕虫病毒,他通过感染E-mail文件进行传播,此病毒只能在安装了 TheBat! 邮件客户端的计算机上传播.此病毒从受害计算机中的 TheBat! 数据库中得到邮件地址,然后将他自己从染毒机器上发送出去,此病毒使用SMTP协议,并且连接到smtp.mail.ru 邮件服务器上.邮件的标题和正文都是俄语,附件是一个win32下的可执行文件 (PE) 文件名为"photo1.jpg.pif"。
邮件正文翻译成中文大致如下:
你好!
你的地址是我的一个普通朋友给我的(第一个地址是他的意思)
我是一个互联网的新手,而且刚刚得到邮箱!
所以这是我第一次写E-mail!!!
他说如果我有问题可以向你请教...
我不但可爱而且还聪明伶俐,友善.
(可以看照片)
我正在期待着你的回信!!!
写信给我,告诉我一点关于你自己的情况和你想了解我那些。
再见!再见!
:)))))))))
Sveta Kovaleva
此病毒还会将自己拷贝到系统目录并感染少数几个系统文件,还会将密码,和其他的保密信息发送到计算机外面。为了掩饰它的行为,此病毒启动后会显示一幅女孩的照片。
感染文件:
病毒启动后此病毒通过几个方法将自己安装到系统. 首先此病毒感染windows下的目录下的五个文件,
MPLAYER.EXE,
WINHL,P32.EXE,
NOTEPAD.EXE,
CONTROL.EXE,
SCANREGW.EXE,蠕虫将被感染的原始文件的扩展名改为.VXD,然后此病毒将自己拷替换成被感染文件.此病毒将自己的几个副本 SCANREGW_EXE 和 LOADPE.COM 安装到系统目录,IFNHLP.SYS 安装到windows目录,然后通过将LOADPE.COM 注册成自启动的文件:
HKCR\exefile\shell\open\command = LOADPE.COM 这样当一个exe文件被启动时,此病毒的副本也被启动,并用同样的方法感染一个文件. 在windows目录下的SCANREGW.EXE文件(病毒的副本)也会被利用注册表注册成自启动的文件:
HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServices ScanRegistry
= %SystemDir%\scanregw.exe。
发送数据:
病毒从染毒机器发送以下的数据到外面:
远程访问的密码和用户名,局域网访问的用户名和密码
BCSoft NetLaunch, PySoft AutoConnect 和 CureFTP 信息 (如果染毒计算机安装了这些软件)
Netscape, TheBat! system parameters (如果染毒计算机安装了这些软件)
List of FAR ftp servers (如果染毒计算机安装了这些软件)
FIDO TMail passWords (如果染毒计算机安装了这些软件)。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2003-2-20
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:Worm.generic.e
下一篇:Harm.EvilGod
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
