Virus 版 (精华区)
发信人: zhanyan (我本楚狂人·风歌笑孔丘), 信区: Virus
标 题: 继尼姆达后 又一新蠕虫危险之至
发信站: 哈工大紫丁香 (2001年09月27日08:20:04 星期四), 站内信件
周一,一种新型蠕虫在美国出现。这一蠕虫名为W32.Vote或WTC.exe,一旦人们打
开它,它会清除所有PC系统文件,并覆写所有HTML文件,替换为用心险恶的消息“
AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>>
ZaCkEr is So Sorry For You.”
防病毒公司趋势的发言人Susan Orbuch说:“"它非常危险,希望人
们不要受到感染。”然而不幸的是,已有一些PC用户感染了此种病毒,安全软件公
司赛门铁克及Network Associates已收到了众多受W32.Vote感染的报告。
Network Associates防病毒紧急反应小组主任Vincent Gullotto说:“我们已取得
一些抽样。”
上周,FBI曾警告说,公众应当小心病毒作者会利用人们对近期恐怖事件袭击
的兴趣展开恶意攻击。W32.Vote明显是首个此类流行开来的病毒。W32.Vote表面看
来是一封很有同情心的邮件。受感染的电子邮件标题为“Fwd: Peace BeTween
AmeriCa And IsLam !”,邮件正文为“Hi! iS iT A waR Against AmeriCa Or
IsLam! Let's Vote To Live in Peace!”。如果使用Microsoft Windows 95、98
、Me或2000PC用户打开附件“wtc.exeIf”,这种蠕虫将会被执行。
当它被激活后,蠕虫会首先尝试将自己发送给微软Outlook地址簿的每个地址
上。然后,蠕虫会在计算机上保存两个Visual Basic程序文件:MixDaLaL.vbs和
ZaCker.vbs。蠕虫还会试图下载并运行可以为入侵者利用的后门程序。然后,蠕虫
会从Windows System文件夹中执行MixDaLaL.vbs,MixDaLaL.vbs扫描硬盘找到所有
扩展名为.htm和.html的文件。当文件找到后,蠕虫会用以上的恶意消息覆写它们
。
蠕虫的另一个组件ZaCker.vbs则会在计算机重新启动后运行。脚本会试图删除
所有Windows目录下的文件,并使用格式主硬盘时用来启动计算机的命令覆写它们
。因为必要的系统文件被破坏,最后的攻击将会失败,但是其它的攻击足以导致
PC无法重新启动。在最后一次关闭前,蠕虫会显示如下信息:“I promises We
WiLL Rule The Wold Again...By The Way,You Are Captured By ZaCker !!!”尽
管蠕虫会导致受感染PC用户重新安装操作系统,Network Associates的Gullotto说
,大多数企业仍然是安全的。 --
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.236.186]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:4.415毫秒