|
该病毒基本分为两部分:一部分是狭义上的病毒,它感染PE结构文件,病毒大小约为3K,用汇编语言编写;第二部分是蠕虫大小为56K,它在运行中会释放并运行一个11722字节的带毒的PE文件。第二部分是用VC++编写的,它只可以在WINDOWS 9X或WINDOWS2000上运行,在NT4上无法运行。
它的传播方式有四种:
第一种:通过INTERNET邮件,它搜索当前用户的地址簿文件中的类邮件地址的文本内容,或随机计算邮件地址,通过WINDOWS的SOCKET函数集用SMTP服务器发送自己这个带毒木马,邮件文件是由木马部分形成,并且该邮件会在OUTLOOK EXPRESS下自动执行,它的主题是随机的,但以下几种情况:
Hi
Hello
How are you?
Can you help me?
We want peace.
Where will you go?
Congratulations!!!
Don't cry.
Look at the pretty.
Some advice on your shortcoming.
Free XXX Pictures.
A free hot porn site.
Why don't reply to me?
How about have dinner with me together?
信的正文为:
I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than ,500.
What do you think of this fact?..Don't call my names,I have no hostility.
Can you help me?
第二种:通过网络邻居,它搜索所有的网络连接,查找共享目录,将自己的文件放到享目录中,并试图让远程计算机将它作为一个服务启动。
第三种:通过磁盘传播,它创建专门的线程感染磁盘,如果当前日期奇数月的13号,将找到的文件内容进行复制。
第四种:方式病毒感染。
病毒部分的运行过程:
一、解密后面的代码长度258H字节
二、然后病毒在内存中查找KERNEL32模块,并根据名字的检验字找到一大批函数入口,这些函数供后面的代码调用。
三、申请内存,将所有代码拷贝到申请的内存中,并转申请的内存执行。
四、查检有无调试程序(调IsDebugPresent函数),如在调试程序下运行,终止病毒代码,返回到原宿主程序(如果是配套的木马,则返回到操作系统)。
五、启动感染代码,如未在调试程序下运行,在SYSTEM(由GetSystemDirectory)目录感染或建立WQK.EXE(WIN9X下)或WQK.DLL(NT下)。
六、将当前进程注册为服务进程。
七、创建感染线程,根据系统时间,如果为13号且为3月或9月,感染所有硬盘或网络盘文件。否则感染系统目录。某些条件下创始的感染线程会启动另一个感染线程,直到系统崩溃。
八、如果是NT操作系统,同时感染所有网络邻居。
九、返回宿主或操作系统。
木马部分运行过程:
一、解码所有字符串。
二、改变当前进程访问权限。
三、启动线程1,线程1的作用如下:
检查当前所有进程,如果有以下进程(部分匹配),则终止这些进程:
_AVP32, _AVPCC, _AVPPM, ALERTSVC,AMON
AVP32,AVPCC,AVPM,N32SCANW,NAVAPSVC,
NAVAPW32,NAVLU32,NAVRUNR,NAVW32,NAVWNT,
NDD32,NPSSVC,NRESQ32,NSCHED32,NSCHEDNT,
NSPLUGIN,SCAN,SMSS
如果是WINDOWS9X系统,将当前程序设为自启动(SoftwareMicrosoftWindowsCurrentVersionRun)线程永不终止。
四、启动线程2,作用如下:
复制自己,运行后删除,然后线程终止。
五、在系统目录中创建KRNL32.EXE,如果是9X,运行它,并将它放入SoftwareMicrosoftWindowsCurrentVersionRun中自动运行。如果是2000系统,
将它作为Service启动。
六、创建线程3,发送EMAIL。
创建线程4,感染网络所有共享文件,每8小时搜索一次。
创建线程5,搜索磁盘文件。
创建线程6,检查当前日期是否为奇数月的13号,如是,将所有文件复制一次,线程5小时运行一次,永不退出。
 订短信头条新闻 天下大事尽在掌握!
| 
版权所有 四通利方 新浪网