Virus 版 (精华区)

发信人: zhanyan (我本楚狂人·风歌笑孔丘), 信区: Virus
标  题: 继尼姆达后 又一新蠕虫危险之至 
发信站: 哈工大紫丁香 (2001年09月27日08:20:04 星期四), 站内信件


周一，一种新型蠕虫在美国出现。这一蠕虫名为W32.Vote或WTC.exe，一旦人们打
开它，它会清除所有PC系统文件，并覆写所有HTML文件，替换为用心险恶的消息“
AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> 
ZaCkEr is So Sorry For You.” 

　　防病毒公司趋势的发言人Susan Orbuch说：“"它非常危险，希望人 
们不要受到感染。”然而不幸的是，已有一些PC用户感染了此种病毒，安全软件公
司赛门铁克及Network Associates已收到了众多受W32.Vote感染的报告。
Network Associates防病毒紧急反应小组主任Vincent Gullotto说：“我们已取得
一些抽样。” 

　　上周，FBI曾警告说，公众应当小心病毒作者会利用人们对近期恐怖事件袭击
的兴趣展开恶意攻击。W32.Vote明显是首个此类流行开来的病毒。W32.Vote表面看
来是一封很有同情心的邮件。受感染的电子邮件标题为“Fwd: Peace BeTween 
AmeriCa And IsLam !”，邮件正文为“Hi! iS iT A waR Against AmeriCa Or 
IsLam! Let's Vote To Live in Peace!”。如果使用Microsoft Windows 95、98
、Me或2000PC用户打开附件“wtc.exeIf”，这种蠕虫将会被执行。 

　　当它被激活后，蠕虫会首先尝试将自己发送给微软Outlook地址簿的每个地址
上。然后，蠕虫会在计算机上保存两个Visual Basic程序文件：MixDaLaL.vbs和
ZaCker.vbs。蠕虫还会试图下载并运行可以为入侵者利用的后门程序。然后，蠕虫
会从Windows System文件夹中执行MixDaLaL.vbs，MixDaLaL.vbs扫描硬盘找到所有
扩展名为.htm和.html的文件。当文件找到后，蠕虫会用以上的恶意消息覆写它们
。 

　　蠕虫的另一个组件ZaCker.vbs则会在计算机重新启动后运行。脚本会试图删除
所有Windows目录下的文件，并使用格式主硬盘时用来启动计算机的命令覆写它们
。因为必要的系统文件被破坏，最后的攻击将会失败，但是其它的攻击足以导致
PC无法重新启动。在最后一次关闭前，蠕虫会显示如下信息：“I promises We 
WiLL Rule The Wold Again...By The Way,You Are Captured By ZaCker !!!”尽
管蠕虫会导致受感染PC用户重新安装操作系统，Network Associates的Gullotto说
，大多数企业仍然是安全的。 --

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.236.186]