)别惹我病毒
别惹我病毒警惕程度:★★★★★
发作时间:随机
病毒类型:蠕虫病毒
传播途径:网络/邮件
依赖系统:WINDOWS 9X/NT/ 2000/XP
该病毒会通过写注册表、写分区自启动文件、写系统启动文件三种方面来达到病毒随系统启动的目的,只要硬盘上存在有病毒的文件,用户无需直接运行该病毒,就能自动将病毒执行起来。
该病毒会接管EXE的文件关联,当系统运行任何程序时都会先将病毒执行起来,而该病毒还有干掉国外十几家知名杀毒软件的特性,因此安装了这些杀毒软件的用户只要启动计算机,这些杀毒软件就会被自动干掉。
别惹我病毒该病毒还具有很强的网络传播特性。病毒运行时会将自己拷贝到局域网的所有计算机的共享目录之中,然后采用双后缀的技术将自己伪装成多种类型媒体文件和快捷方式的形式,如果用户误因为是媒体文件或快捷方式而点击的话,病毒就会立刻被激活,从而导致整个局域网带毒。
病毒启动三个线程:
第一个线程:监视自己的注册表值。如果被修改病毒将改回病毒设的值。并且病毒将遍历所有硬盘分区,进行文件删除破坏。
第二个线程:监视系统并生成病毒信息文件winfile.dll,该文件中有病毒保存的随机病毒名。
第三个线程:负责进行网络传播。
一、拷贝自身,完成感染
病毒运行后会首先将自身复制到多份到操作系统的目录和操作系统下的SYSTEM目录,名字一般是随机的,但有两个病毒主程序的名字是固定的:一个是病毒的主程序体:RUNDLL16.EXE,存在于系统目录下,它主要用于病毒的正常运行;一个是病毒的配置文件:WINFILE.DLL,存在于系统的SYSTEM目录下,它主要用于病毒保存一些病毒生成的文件信息。
二、修改注册表,进行自启动
病毒会将病毒主程序体的路径加入注册表的自启动项,每次开机都引导病毒。病毒会在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中添加键值:LoadCurrentProfile,内容为:Rundll16.exe, powprof.dll,LoadCurrentUserProfile.
三、首次运行,欺骗用户
如果病毒是被用户双击而且是首次运行,病毒会弹出一个WINZIP的错误框,告诉用户:“你的WINZIP自解压版本未被许可,或者许可信息丢失或不正确,请联系程序作者或登陆www.winzip.com网站获得更多信息”,用户一般的反映是此文件已经损坏而将之删除,其实病毒已经运行。
别惹我病毒四、修改EXE文件关联,运行任何程序等于运行病毒
病毒会将注册表中的与.EXE文件类型的关联指向病毒体,这样,用户运行任何程序都等于运行了病毒,而且为了不引起用户的怀疑,病毒在运行后会将用户要执行的程序继续运行。
五、启动多线程,监控注册表与自身
病毒运行时会启动多个线程。其中一个线程负责监视注册表的操作,另一个线程负责监控自身的文件。如果病毒发现注册表中被病毒写入的两个键值被修改,或者病毒文件被用户尝试删除,病毒则会将自己休眠5秒,然后进行报复,将用户硬盘中的所有文件都进行删除,使用户资料丢失。
六、删除所病毒软件
病毒会对十几家知名杀毒软件进行攻击,如果病毒运行时发现有它认识的杀毒软件的主程序,则将之杀掉。
七、局域网与邮件传播
病毒在有网络连接的前提下,会在局域网中快速传播自身,并通过邮件系统,建立主题与内容随机的病毒邮件,在互联网中大量传播自身。
八、修改多处系统配置文件
病毒还会修改多处系统文件如:MSDOS.SYS, WIN.INI等,而且在病毒体发现病毒有生成脚本文件的代码,但在动态分析过程中未能再现此动作。
该病毒使用高级语言编写,采用UPX压缩来减小自身长度,来更有效的实现传播。此次最新变种除了使用传统的邮件传播方式外,还增加了利用聊天室工具和点对点工具来传播的方式,以及使用网络共享进行传播。
1、病毒首次运行时实现伪装
别惹我病毒病毒首次被运行时会显示一些Windows正常程序常见的出错提示,病毒就以此来实现伪装,达到欺骗用户的目的,让用户放松对该程序的警惕,从而使病毒获得完全运行。
2、全方位的病毒自我加载
病毒感染系统成功后,会自我复制到系统安装目录下,病毒采用随机生成的病毒名。然后采用多种方式来实现病毒的自工加载。如下:
(1)修改注册表的启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
<随机键名> = <病毒程序名> powrprof.dll, LoadCurrentPwrScheme
(2)修改EXE和REG文件关联
EXE文件是WINDOWS默认的可执行程序文件,REG为注册表文件。当更改了这两种文件的关联后,每次运行EXE文件和打开REG文件时,都会再次激活病毒程序。
(3)添加Win.ini文件的启动项
(4)添加分区启动文件
病毒会在每个硬盘分区添加启动文件,使其指向病毒程序。当打开“我的电脑”里的硬盘时就会自动激活病毒。
3、采用多种方式保证自己的有效运行
(1)病毒启动多线程技术来监控注册表和自己
(2)删除多种知名杀毒软件
4、多种传播方式
(1)病毒会自动发送带毒邮件
(2)病毒利用一些常用的聊天软件(mIRC)、点对点软件(KaZaA)进行传播
(3)利用局域网的共享目录进行传播
1. 病毒运行时会首先释放三个病毒体到系统:DX89AM32.EXE、DESK.EXE、COMMON.EXE,然后释放FAITH.INI文件,最后病毒还会释放几个sys和def文件,名称随机。是病毒的配置文件。用户可以搜索计算机,来查找这些文件,找到后,可以将它们直接删除,如果有些文件无法删除,则可以退到DOS下来做删除操作。
2. 病毒通过三种方式自启动:
1> 写入注册表项HKLM\Software\Microsoft\Windows\CurrentVersion\Run,在其中建立名称为:“LoadSystem”和“CommonAgent”的病毒自启动键值。
别惹我病毒2> 如果根目录有文件Autorun.inf ,则病毒将自己写入,以便用户查看分区时病毒感染。
3> 修改win.ini的run项,在其中加入病毒的自启动路径。
用户可以按照上面说的,用REGEDIT等注册表编辑工具来删除在注册表中产生的病毒键值,如果用户分区中,如C盘存在有Autorun.inf文件,则最好将这个文件删除,如果确实是用户需要的文件,则用户可以用记事本等文本编辑工具来查看Autorun.inf文件,看其中是否有病毒相关的项,如果有,则可以将它们删除;用户还需要查看系统目录下的WIN.INI文件内容,看其中的启动项是否被替换成病毒的路径,如果有,则将这一项删除。
3. 病毒会修改注册表项设置:exefile\shell\open\command,接管exe文件关联。当用户运行程序时,病毒首先被启动,如果程序名称中包含下列字符串,则病毒拒绝执行该程序,这样这些杀毒软件就会失效:virus、norton、black、cillin、labs、zone、firewall、sophos、trend micro、mcafee、guard、esafe、lockdown、conseal、antivir、f-secure、f-prot、fprot、kaspersky 、panda,用户要想修改这个关联键值,必须对注册表非常熟悉,否则会出现其它异常情况,用户最好能用一些专业的工具如“超级兔子”来进行修改,或用该病毒的专杀工具来自动将这一键值改回
4. 病毒会遍历内存中的所有进程,发现内存中有上述名称的进程在活动,则直接杀死该进程,使这些正在运行的杀毒软件立刻失效。
5. 病毒会遍历操作系统的所有窗口,发现包含有下列字符串的窗口标题时,病毒就会给这些窗口发送“WM_CLOSE”消息,将这些窗口关闭,因为这些窗口都是杀毒软件的主程序窗口,所以病毒运行后,这些杀毒软件的杀毒界面将无法再显示,以下就是病毒关闭的窗口名称字符串:
| black | panda | shield | guard | scan | mcafee | nai_vs_stat |
| iomon | navap | avpalarm | f-prot | secure | labs | antivir |
6. 病毒会遍历硬盘中的所有目录,包括局域网中的共享目录与默认共享目录,并释放病毒拷贝,名称随机,文件后缀为以下字符串,病毒产生后缀名为:.pif、.scr、.asf、.mpg,附录中会提供可能的病毒名,
7. 病毒创建注册表exe文件关联项和系统目录的监控线程,当用户手工更改注册表相关设置,或删除系统中的病毒文件时,会被病毒自动恢复。
8. 如果用户的计算机中有mIRC即时通信软件,则病毒会释放自己的ini文件,然后利用这些软件来传播自己,以下是病毒建立的INI文件列表:mirc.ini、channel.ini、help.ini、remotes.ini、controls.ini、logs.ini、notes.ini、version.ini。
9. 病毒会频繁地搜索标题为“Outlook Express”、“Choose Profile”和“Internet Mail”的窗口,发现后并将其隐藏。这样当病毒使用系统MAPI向外发送病毒邮件时,用户就无法察觉。
10. 病毒会查询本地的邮件服务器设置,然后利用MAPI发送带毒邮件。这个邮件利用了MIME漏洞,只要用户预览自动运行。邮件正文包含下列信息:
| Yahoo! Greetings is a free service. If you'd like to send someone a Yahoo! Greeting, you can do so at http://greetings.yahoo.com %s sent you a Yahoo! Greeting_ support@games.yahoo.com Yahoo!Tennis.scr Yahoo! Team is proud to present our new surprise for the clients of Yahoo! and Yahoo! Mail. We plan to send you the best Yahoo! Games weekly. This new service is free and it's a gift for the 10th anniversary of Yahoo!. We hope you would like it. The whole Yahoo! Team wants to express our gratitude to you, the people who helped us to improve Yahoo! so much, that it became the most popular worldwide portal. Thank You! We do our best to serve you. |
发现这种内容的邮件时,用户可直接将这些文件删除。
11. 病毒会创建注册表exe文件关联项和系统目录的监控线程,只要用户手工更改设置或删除系统中的病毒文件,病毒就会发觉,然后会自动恢复成原来的状态。
12. 如果有mIRC通信软件,病毒会释放自己的ini文件,利用这些软件传播自己。 以下是病毒释放的病毒文件:Mirc.ini、channel.ini、help.ini、remotes.ini、controls.ini、logs.ini、notes.ini、version.ini,如果用户安装了mIRC软件,可以检查一下软件目录中是否存在有这些文件,如果有则可能中了该病毒,需要用杀毒软件清除病毒,或重装该软件。
劣迹一:该病毒会通过写注册表、写分区自启动文件、写系统启动文件三种方面来达到病毒随系统启动的目的,只要硬盘上存在有病毒的文件,用户无需直接运行该病毒,就能自动将病毒执行起来。
别惹我病毒劣迹二:该病毒会接管EXE的文件关联,当系统运行任何程序时都会先将病毒执行起来,而该病毒还有干掉国外十几家知名杀毒软件的特性,因此安装了这些杀毒软件的用户只要启动计算机,这些杀毒软件就会被自动干掉。
劣迹三:该病毒还具有很强的网络传播特性。病毒运行时会将自己拷贝到局域网的所有计算机的共享目录之中,然后采用双后缀的技术将自己伪装成多种类型媒体文件和快捷方式的形式,如果用户误因为是媒体文件或快捷方式而点击的话,病毒就会立刻被激活,从而导致整个局域网带毒。
劣迹四:该病毒还会利用邮件漏洞向外发送大量的,用户只预览就能运行病毒的带毒邮件,而且该病毒在发送邮件时还会隐藏一些常用发信工具的发信窗口,从而使用户毫无觉察。
瑞星别惹我(Worm.Roron)病毒专杀工具 http://it.rising.com.cn/service/technology/RS_roron.htm
