Virus 版 (精华区)

发信人: zhanyan (漫漫雨丝), 信区: Virus
标  题: 概念病毒介绍
发信站: 哈工大紫丁香 (2001年09月19日14:38:37 星期三), 站内信件

发信人: dwdeng (追风少年), 信区: Virus
标  题: 概念病毒介绍
发信站: BBS 水木清华站 (Wed Sep 19 13:52:08 2001)

金山公司刚刚率先发现的新蠕虫--------“概念”病毒(Worm.Concept.57344),又是
一种会通过email电子邮件进行传播的恶意蠕虫。当用户邮件的正文为空时,似乎没有附
件,实际上邮件中嵌入了病毒的执行代码。只要用户用OUTLOOK、OUTLOOK EXPRESS(没
有安装微软的补丁包的情况下)收取邮件,在预览邮件时,病毒的执行代码就已经在不
知不觉中执行了。执行时会将自身复制到临时目录下,再运行在临时目录中的副本。
  该病毒还会在windows的system目录中生成load.exe文件,同时修改system.ini中的
shell,把shell=explorer.exe改为explorer.exe load.exe –dontrunold,从而使病毒
在下次系统启动时仍能被激活。另外,在system目录下,该病毒还会生成一个副本:ri
ched20.dll。riched20.dll目录在windows系统中就存在,它就会把它覆盖掉了。
   病毒复制到临时目录下的副?(有两个文件,文件名为???????.tmp.exe)
,在系统下次启动时,病毒会将他们删除(修改wininit.ini文件)。
  为了通过邮件将自己传播出去,该病毒使用了MAPI函数读取用户的email并从中读取
SMTP地址和email地址。病毒还在windows的临时目录下生成一个eml格式的临时文件,大
小为79225字节,该文件已经用BASE64编码将病毒包含进去。然后,病毒就用取得的地址
将带毒邮件发送出去。
  〔《镜 第二种传播途径就是用与CodeBlue极其相似的方法,使用了IIS的UNICODE漏
洞。
  该病毒的第三种传播途径则是通过局域网的共享,传播到其它windows系统下。
另外,病毒运行时会利用ShellExcute执行系统中的一些命令如:NET.EXE、USER.EXE、
SHARE.EXE等等,将Guest用户添加到Guests、Administrators组(针对NT/2000/XP),
并激活Guest用户。还会将C盘根目录共享出来。

-- 
--

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.236.186]
[百宝箱] [返回首页] [上级目录] [根目录] [返回顶部] [刷新] [返回]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:4.312毫秒