W32.Fusic@mm

2008-02-23 09:30:43来源：互联网阅读 ()

病毒名称: W32.Fusic@mm 类别：蠕虫病毒资料：受影响系统：Windows 95, Windows 98, Windows NT, windows 2000, Windows XP, Windows Me

不受影响系统：Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux

病毒危害：

修改注册表；

勾住按键程序，拦截机密数据。

病毒传播：

主题: To be my friend?

正文: To be my friend?Please look at my photos in the 附件

附件: My introdUCtion and photos.exe

主题: resume

正文: Please look at my resume

附件: My resume.exe

主题: Funny movie

正文: Funny flash movie

附件: Funny movie.exe

主题: Document you want

正文: What you want is in the attachment

附件: Readme.exe

技术特征：

这是一个具有后门功能的邮件蠕虫，通过电子邮件繁殖自己。它利用MAPI向Windows地址簿中的所有联系人发送病毒邮件。运行后：

1.将自己复制为％system％KernelKernel32.exe

2.创建如下文件：

％system％FuncDLL.dll

％system％IEHelper.dll

这两个文件是木马组件用来拦截按键程序的。FuncDLL.dll通过勾住键盘信息来拦截按键情况。IEHelper.dll处理在浏览器中输入数据所引发的IE事件。两个文件都将拦截的数据及URL存放在％system％Passlogx.log中。如果你机器上有这个文件的话，说明你已经中毒，你可以打开该文件看看你的哪些数据被拦截了。

3.在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

中创建值kernel ％system％kernelkernel32.exe

使得蠕虫在机器启动时自动运行。

同时创建如下两个注册表键；

HKEY_LOCAL_MACHINESOFTWAREkernel

HKEY_LOCAL_MACHINESOFTWAREkernelA09b37xz

其中的键值包含有所储存的内部设置数据。

4.Windows 95/98/Me系统上，它会将自己注册成一服务进程，使得用户注销时蠕虫仍能运行，只在半闭系统，它才会被关闭。

5.在勾子链中安装一个勾子程序以监控系统的键盘及鼠标，键盘及鼠标勾子程序处理信息，然后将“勾”到的数据传递给当前勾子链中另一个勾子程序。

一旦上述勾子程序被安装，蠕虫就会等待远程客户端的指令，这些指令可能让黑客执行如下操作：

向黑客发送系统及网络信息；

终止进程；

拦截机密数据；

6.利用MAPI向外发送邮件。接着检查Locale ID，如果不是汉语的话，则以上面所述的邮件格式发送病毒邮件。如果Locale ID是汉语，则会将其翻成汉语。

病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ：主题变化不定新蠕虫感染后会截取机密数据。
发现日期： 2002-11-22

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有