Virus 版 (精华区)

发信人: zyw (秋风), 信区: Virus
标  题: 我国发现"赛文" (WORM_Swen.A)新型蠕虫病毒《1》
发信站: 哈工大紫丁香 (2003年09月21日11:10:25 星期天), 站内信件

:我国发现"赛文" (WORM_Swen.A)新型蠕虫病毒 
http://www.duba.net (2003-09-19 18:03)文章来源：国家计算机病毒应急处理中心 
  
　　国家计算机病毒应急处理中心通过对互联网的监测，于2003年9月18日晚发现一个
新型的蠕虫病毒，经分析证实该病毒已在我国出现，并将病毒命名为“赛文”（Worm_
Swen.A）。
　　 病毒可以通过电子邮件，KaZaA（点对点传播软件）, IRC（Internet在线聊天系统）
，
网络共享多种途径进行传播等。病毒运行时将自己伪装成一封微软升级邮件，并搜索计算
机
内所有有效的邮件地址向外发送病毒邮件。同时，还试图破坏系统中正在运行的反病毒软
件
及个人防火墙。
　　 目前，国内已有一些用户受到感染，国家计算机病毒应急处理中心在这里提醒广大
用户，立即升级杀毒软件，并启动“实时监控”功能，做好病毒的防范工作。
　　 有关该病毒分析报告如下：
　　病毒名称：“赛文”（Worm_Swen.A）
　　病毒类型：蠕虫
　　病毒长度：106,496字节
　　影响系统：Win 95/98/ NT/2000/Me/XP
　　病毒特征：
　　 该病毒同样利用了微软很久之前公布的一个漏洞，有关该漏洞的详细信息请参见
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
security/bulletin/MS01-020.asp 。
　　 该病毒使用C++编写的。
　　 病毒可以通过多种途径进行传播，包括电子邮件，KaZaA（点对点传播软件）, 
IRC（Internet在线聊天系统），网络共享等。
　　 病毒运行时将自己伪装成一封微软升级邮件，并搜索计算机内所有有效的邮件
地址向外发送病毒邮件。同时，还试图破坏系统中正在运行的反病毒软件及个人防
火墙。
　　 1、生成病毒文件
　　病毒运行后，会出现一个对话框，出现一个提示框，假装是MAPI32 Exception出错，

并要求用户输入“邮件地址”、“用户名”、“口令”、“POP3”、“SMTP”等信息。
同时，在Windows目录下生成随机的文件名称的exe文件。
　　 注意：其中Windows目录在Windows 95/98/Me/XP下为
C:\Windows，Windows 95/98/Me/XP下为 C:\Winnt 
　　病毒还在Windows目录下生成下列文件
　　<computer name>.bat 
　　<random name>.<random extension> 
　　Germs0.dbv ——存放在被感染计算机中搜索到的Email地址
　　Germs1d.dbv——存放在被感染计算机中搜索到的Email地址
　　Swen1.dat——存放Mail服务器列表
　　 2、自启动技术
　　病毒对注册表进行修改，已达到随系统启动而自动运行的目的
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 
　　<random value> = "<random filename>.exe autorun"
　　其中random filename是在Windows目录下生成的病毒文件的名称。
 3、修改注册表中的文件关联[未结束] 

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 210.46.72.9]