)斯文病毒
斯文病毒病毒评估:
警惕程度:★★★★☆
发作时间:随机
病毒类型:蠕虫病毒
传播途径:邮件/局域网/mIRC软件/Kazaa软件
斯文病毒依赖系统: WINDOWS 9X/NT/2000/XP
病毒介绍:
瑞星全球反病毒监测网截获了一个传播速度极快的恶性蠕虫病毒“斯文(Worm.Swen)”,它于2003年9月19日开始在我国传播。该病毒会象“求职信”一样在网络中大面积泛滥并引起网络阻塞, 影响用户的正常上网。该病毒会将自己伪装成微软公司的升级邮件来诱惑用户点击,当用户运行该病毒时还会显示安装进度条,具有非常大的迷惑性。另外,该病毒还有一个独特之处,就是它会实时自动统计发送成功的病毒邮件数量,至今全球已有几百万台电脑收到了该病毒的带毒邮件,用户随时都有可能激活该病毒。
该病毒运行时会将自己伪装成一封微软公司升级邮件,然后搜索所有有效的邮件地址向外疯狂发送病毒邮件。该病毒邮件的标题为:"Returned Response"(译文:反馈信息),附件是病毒本身。当病毒运行时会提示:“This will install Microsoft Security Update Do you wish to continue?”(译文:将安装微软安全补丁,你希望继续吗?),如果用户选择“是”,则会出现一个安装进度条,当安装后还会提示已经安装成功,让用户以为是真正的补丁程序,其实这时候病毒已经运行。
病毒运行后会将自己拷贝到系统目录,然后将隐藏于内存之中伺机进行感染,并且关联后缀为:BAT、COM、EXE、PIF、REG等类型的的文件,当用户运行这类文件时,病毒便会显示一个出错框,其实这时病毒已经开始搜索硬盘中的有效邮件地址了。此外,病毒还会通过mIRC软件进行传播,干掉几十家反病毒软件与防火墙,使用户电脑的安全防护失效。
最近发现的“蓝盒子(Worm.Lehs)”、“V宝贝(Win32.Worm.BabyV)”和 “斯文(Worm.Swen)”病毒,都是将自己伪装成微软公司的补丁程序来进行传播的,希望广大用户提高辩别能力,免遭这些病毒侵扰。
1. 病毒运行时,会将自己复制到windows目录,文件名随机,并且在注册表的run项中加入病毒自启动键值。
2. 病毒每感染一台电脑便会连到病毒作者的一个网站(http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006),并进行感染计数,以此统计有多少台电脑已被感染。
3. 病毒会修改:BAT、COM 、EXE 、PIF 、REG 、SCR这些类型文件的注册表关联,当用户运行这些类型的文件时,病毒便会自动弹出内容为:“Memory Access Violation in module kernel32 at ????:???????? (注:以上问号部分为随机数字)”消息框来迷惑用户。
4. 病毒会冒充微软公司的补丁邮件来诱惑用户,病毒会发送邮件的发件人是:Email Delivery Service (kmailengine@yahoo.com),标题是:"Returned Response",邮件内容是:
"Undeliverable mail to (目标邮件地址 )"的病毒邮件,附件为随机名的病毒复本(被zip或rar压缩的),当用户运行该附件时,病毒会出现以下提示框:
斯文病毒如果用户选择“是”,则会出现以下进度框:
斯文病毒当进度完成后会出现以下信息框:
斯文病毒其实以上信息都是虚假的,是病毒做出来迷惑用户的,这时候病毒会搜磁盘中所有类型为:*.mbx,*.asp,*.ht*,*.dbx,*.wab,*.eml的文件,在其中搜索有效的email地址,并把这些地址记在%windir%germs0.dbv文件中。
注意:%Windir%是一个变量,它指的是操作系统安装目录,默认是:“C:\Windows”或:“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。
5. 病毒运行还会显示如下所示的一个假的mapi错误信息以骗取用户的基本信息:
斯文病毒6. 该病毒会进行局域网传播,搜索网络共享目录并尝试将自己复制到以下路径中:
| windows\all users\start menu\programs\startup |
| windows\start menu\programs\startup |
| winme\all users\start menu\programs\startup |
| winme\start menu\programs\startup |
| win95\all users\start menu\programs\startup |
| win95\start menu\programs\startup |
| win98\all users\start menu\programs\startup |
| win98\start menu\programs\startup |
| document and settings\all users\start menu\programs\startup |
| document and settings\default user\start menu\programs\startup |
| document and settings\administrator\start menu\programs\startup |
| winnt\profiles\all users\start menu\programs\startup |
| winnt\profiles\default user\start menu\programs\startup |
| winnt\profiles\administrator\start menu\programs\startup |
7. 病毒会将注册表的Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools值置1 ,使用户无法使用注册表编辑工具。如果出现这种现象,则很有可能是中了该病毒。
8. 病毒能搜索mIRC的客户端,并利用病毒自身放出的irc脚本进行传播。同时病毒还利用p2p软件Kazaa进行传播。病毒通过把自己复制到%windir%temp目录(文件名随机)并把该目录通过Kazaa共享出去以达到传播目的:
病毒可能使用的文件名:
| Download Accelerator | GetRight FTP | Windows Media Player | AOL hacker |
| key generator | installer | cleaner | Cooking with Cannabis |
| fixtool | Virus Generator | …… |
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“斯文(Worm.Swen)”病毒。
9. 病毒在运行中将关闭以下的反病毒软件及防火墙:
斯文病毒1、发送带毒电子邮件,多以退信、微软公司发布的补丁升级程序的形式发送。病毒邮件利用IE的IFRAME漏洞可以在用户不打开附件的情况下就可以自动下载到本地,并且立即执行。
2、通过KazaA点对点工具的文件共享功能进行传播,蠕虫会拷贝复本到该软件指定的共享文件夹中
3、通过IRC聊天工具的文件共享功能进行传播,蠕虫会拷贝复本到该软件指定的共享文件夹中
4、通过网络共享进行传播,蠕虫会查找网络中的共享文件夹,尝试将复本拷贝到这些系统中的以下文件夹内:
| 对于Win9x: WindowsStart MenuProgramsStartup |
| 对于Win2000/WinXP: Documents and SettingsStart MenuProgramsStartup 如果登录用户名为:administrator,则该文件夹为: Documents and SettingsAdministratorStart MenuProgramsStartup |
| 对于WinNT: WinntProfilesStart MenuProgramsStartup 如果登录用户名为:administrator,则该文件夹为: Documents and SettingsAdministratorStart MenuProgramsStartup |
5、蠕虫还会向它指定的自闻组发送带病毒的邮件。
1.如果执行的病毒是以字母q、u、p、i开头的文件名,病毒将弹出对话框“Microsoft Internet Update Pack", 无论选择那个按钮,病毒都将安装自己。
2.复制病毒体到%SystemRoot%中,文件名随机。
3.在%SystemRoot%中生成两个文件Germs0.dbv和Swen1.dat,用来存放病毒搜索到的Email地址和Mail服务器列表
斯文病毒4.在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中加载启动项
5.修改.exe/.reg/.scr/.com/.bat/.pif文件的关联
6.将HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem中的"DisableRegistryTools" = "0"修改为"DisableRegistryTools" = "1"用来禁用regedit。
7.病毒会周期性的出现一个提示框,假装是MAPI32 Exception出错,并要求用户输入“用户名”“口令”“POP3”“SMTP”等信息。
8.当执行某一程序时可能会出现以下系统提示,表示系统出错,实则为禁止某些系统程序的正常运行, 这其实是病毒发出的欺骗信息,并不是真正的系统程序出错。
9.病毒会有一个链节计数病毒运行的次数。
该病毒使用病毒名、注册表中启动项的键值都会使用随机的,所以手工清除会有一定的困难,建议各位网络用户采用以下方法对病毒进行清除。
方法一:请使用2003年9月19日以后病毒库版本的金山毒霸查杀该蠕虫病毒,然后使用“注册表修复工具”修复病毒所改动的文件关联。
方法二:使用专杀工具,可以完全处理该蠕虫病毒,包括回恢病毒把修改的注册表项。
方法三:首先,下载一个专杀工具(地址请见上面),然后重启,当出现那个可执行文件(如:adks.exe)找不到而需要重新定位时,把专杀工具改成该名(即adks.exe),跟住把路径定位到专杀工具存放的地方,确定--执行,此时病毒运行的同时杀毒软件也运行,相者便会抵消。现在就可以运行REGEDIE把相关病毒运行相关注册表项删除。
恶性蠕虫Worm.Swen爆发 全球百万台电脑中招
2003年9月18日晚,瑞星公司通过全球反病毒监测网截获了一个传播速度极快的恶性蠕虫病毒“斯文(Worm.Swen)”。
该病毒会象“求职信”一样在网络中大面积泛滥,它将自己伪装成微软的升级邮件来诱惑用户点击,当用户运行该病毒时还会显示安装进度条,具有非常大的迷惑性。
该病毒的另外一个独特之处是,它会实时自动统计已被感染电脑的数量,截至到19日上午11:30全球被感染电脑台数已达123万台,瑞星反病毒工程师判断,该病毒正以每秒20台电脑的感染速度疯狂传播。
该病毒运行时会将自己伪装成一封微软升级邮件,然后搜索所有有效的邮件地址向外疯狂发送病毒邮件。该病毒邮件的标题为:"Returned Response"(译文:反馈信息),附件是病毒本身。
斯文病毒当病毒运行时会提示:“This will install Microsoft Security Update Do you wish to continue?”(译文:将安装微软安全补丁,你希望继续吗?),如果用户选择“是”,则会出现一个安装进度条,当安装后还会提示已经安装成功,让用户以为是真正的补丁程序,其实这时候病毒已经运行。
病毒运行后会将自己拷贝到系统目录,然后将隐藏于内存之中伺机进行感染,并且关联后缀为:BAT、COM、EXE、PIF、REG等类型的的文件,当用户运行这类文件时,病毒便会显示一个出错框,其实这时病毒已经开始搜索硬盘中的有效邮件地址了。
此外,病毒还会通过mIRC软件进行传播,干掉几十家反病毒软件与防火墙,使用户电脑的安全防护失效。最近发现的“蓝盒子(Worm.Lehs)”、“V宝贝(Win32.Worm.BabyV)”病毒和今天的“斯文(Worm.Swen)”,都是将自己伪装成微软公司的补丁程序来进行传播的,据反病毒专家分析,在冲击波病毒以后,出现了许多以打补丁为内容的邮件病毒,请广大用户提高辩别能力,最好使用专业的杀毒软件来预防这些病毒。
瑞星“斯文(Worm.Swen)”病毒专杀工具 http://it.rising.com.cn/service/technology/RS_swen.htm
金山毒霸斯文病毒专杀工具 http://www.duba.net/download/3/94.shtml
瑞星注册表修复工具 http://it.rising.com.cn/service/technology/RegClean_download.htm。
