ITnews 版 (精华区)
发信人: yuki (木子), 信区: ITnews
标 题: 新蠕虫病毒太厉害
发信站: 哈工大紫丁香 (2001年07月02日19:53:12 星期一), 站内信件
美国Norman Data Defense Systems于美国当地时间6月28日发出警告说,目前已发现电
子邮件蠕虫(e-mail worm)和网络爬行者(network crawler)成对出现的“W32/Linong.A
@mm”和“VBS/LoveLetter.CQ@mm”病毒。其危险度为“高”。
蠕虫“W32/Linong.A@mm”和“VBS/LoveLetter.CQ@mm”会侵入用户系统并写入怀有
恶意的恶作剧代码。还能够向Outlook和共享硬盘扩散,从而最终在WWW上漫延。该病毒
主要感染小企业、SOHO和个人用户的个人电脑。一旦被感染,MS Exchange Server就有
崩溃的危险。
上述蠕虫发来的电子邮件的主题、正文及附件的名称各种各样,目前已经确认的有
如下之例:
-- One of this mail, True Story ... mylinong.exe
-- Info From CFusion, You can update your CFusion Online For Free, CFusi
on.exe
-- Patch Your CFusion, Are You Ready Fix Your CFusion, Please Update Pat
chFusion.exe
-- Still Remember You, She is MY sexy Linong, MyLinong.exe
-- Light Up The Night, Light up The Night PARTY..., Light up the night.e
xe
-- Man Choice, Are You Man or women. This is The sponsor from our site T
he man choice StarMild.exe
-- Kiss Me 100 way to kiss your GirlFriend or your boyfriend Kiss.exe
-- Sexy Model Did you ever see the sexy girls like her Sexy.exe
-- Popeye Cartoon The New Popeye New Cartoon NetWork Popexe.exe
-- Olive & Popeye Olive And Popeye Cartoon Olive.exe
-- MyGirlFriend Dogs Nice dog... BullBull.exe
-- My Girl Friend'' Dogs Good Dog and Smart dogs Moly.exe
-- Sweet Lovely My Icq Friend Sweet and Lovely Lovely.exe
-- Password Here The list of Nude Password Website. All of them Still Ac
tive, and few of them are death password 868879.exe
-- Need Help Do you need help ? to get money over the internet. You can
read the help Help.exe
-- Bill Bill.. BillGate
-- Mikropos The New Mikropos Software From Mikropos Network Mikropos
其执行文件“PCPower.exe”和“MyLinong.exe”能够自我复制,并将VBS文“myli
nong.vbs”写入Windows系统文件夹。这些文件由如下注册表键值指定: HKEY_LOCAL_M
ACHINESoftwareWindowsCurrentversionRun
而且该病毒还会把上述文件中的某一个复制到Windows系统目录中,并向Outlook的
地址簿中保存的所有地址发送复制的蠕虫程序。之后,将以“Linong I Love U So Muc
Linong For ever My LoveX”的名称制作501个目录。其中X为从0到500的501个数字。
上述蠕虫可将VB Script“VBS/LoveLetter.CQ”Windows保存到Windows系统目录下
,然后再复制到如下4个文件中。
mylinong.jpg.shs
Kern32Lin.vbs
Vbrun32DLL.vbs
mylinong.jpg.vbs
接着将设定如下注册表键值:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Kern32lLin Kern32Lin.vbs
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
Vbrun32DLL vbrun32DLL.vbs
HKCUSoftwareMicrosoftInternet ExplorerMainStart Page
http://www.thewebpost.com/lovepoems/1198/dpt112098ily.shtml
最后通过电子邮件把原蠕虫执行文件发送给Outlook地址簿中的所有地址。
更为恶劣的是,这些蠕虫还会自动生成IP地址并进行连接。如果硬盘是共享的话,
就可能会把蠕虫自身“linong.vbs”复制到其他个人电脑的根目录、Windows文件夹和启
动文件夹中。然后,每隔一天这些蠕虫就会显示一遍这样的信息:“I Love You Linon
g,You are the love of my love...”。
Norman公司已经在该公司的网站(http://www.norman.com/virus_info/w32_linon
g.shtml)上提供详细信息以及驱虫文件等。
“目前小企业中防火墙的设置等措施还不尽完善,硬盘共享等情形下的安全和风险
管理也多有疏忽之处,因此极易受到蠕虫入侵”(Norman公司首席执行官Henry Dugan)
。
--
● ●) ● ● ) \●/ \●
<┃> (┃ (┃) () ┃┃ ( >
/\ / ) (\ / ) / \ /\
左三圈,右三圈,脖子扭扭,屁股扭扭,你就不会老 :)
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 天外飞仙]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:2.948毫秒