紫丁香社区计算机病毒 → 精华区文章阅读

Virus 版 (精华区)

发信人: emanuel (小飞象★傲雪飞扬), 信区: Virus
标  题: 警惕:EMMANUEL-“圣诞节病毒”变种(转载)
发信站: 哈工大紫丁香 (2001年03月02日17:32:17 星期五), 转信

【 以下文字转载自 Computer 讨论区 】
【 原文由 emanuel 所发表 】

警惕:EMMANUEL-“圣诞节病毒”变种(Worm.Navidad.16896)
----------------------------------------------------------------------------
----
前言——
    最近一段时间,Emanuel病毒大肆传播,为这个新世纪的到来添加了几分烦恼,不过
只要大家多关注病毒的咨讯,及时升级、更新杀毒软件就可以拒病毒于门外了。
病毒清除办法——
1.下载瑞星专门提供的修复软件Repair.com(针对“圣诞节”病毒);
2.启动被感染的机器,进入Windows状态;
3.在这台机器上运行刚刚下载的Repair.com程序;
4.将您的瑞星杀毒软件升级到最新瑞星2001版(当前版本号为12.03)并用它对被感染的机
器进行查杀。
病毒详细资料——
    该病毒名称可能是下列名称之一:
   NAVIDAD.E, NAVIDAD.B, EMMANUEL, TROJ_EMMANUEL,WORM.NAVIDAD.16896
    这是一个通过email进行传播的网络蠕虫。它利用 Microsoft Messaging API功能来
向染毒机器
地址簿中的所有地址发送一封EMAIL,其中病毒代码被作为附件。该病毒是曾经风靡一时
并被瑞星公
司捕获的WIN32.Navidad病毒的变种,它从图标、邮件内容及附件都与原来的Navidad 不
同,当该病
毒被执行时,会显示一个错误消息框以防止用户运行EXE文件。
当用户点击“OK”按钮,有一个看起
来像小花的图标出现在系统时钟图标的旁边,
当用户点击该图标时将显示下列消息框:
Nunca presionar este boton(翻译成英文为:Never press this button)
如果该消息框的按钮被按下将会显示一个标题为"Emmanuel…"的消息框,内容为:
Emmanuel-God is with us!May god bless u.And Ash, Lk and LJ!!
如果该消息框被关闭,接着会显示下面的消息:
May God bless u;D
    该病毒同样要修改注册键以便在每次Windows启动时都能够运行该病毒程序:
HKEY_CURRENT_USER\SOFTWARE\Emanuel
HKEY_USERS\.DEFAULT\SOFTWARE\Emanuel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run Win32BaseServiceMOD = %systemdir%\WINTASK.EXE”
其中%systemdir% 是Windows的System目录位置,对于WIN95/98系统,该值为\WINDOWS\
SYSTEM,对于WIN NT/2000该值为\WINNT\SYSTEM32。
    该病毒复制自身代码为WINTASK.EXE然后修改上面提到的注册键入口,当系统运行E
XE文件时被替换成运行该病毒程序。
HKEY_CLASSES_ROOT\exefile\shell\open\
command (Default) = "%systemdir %\WINTASK.EXE "%1"%*"
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\
shell\open\command (Default) = "%systemdir %\WINTASK.EXE "%1"%*"
然而,上面提到的注册键人口的修改仅仅影响EXE文件的执行,而.COM和其他的可执行文
件的运行并不与该病毒冲突。当每次执行EXE文件时Windows将显示错误消息框,取代EX
E文件的执行该病毒的一个副本将驻留内存。
   病毒程序在感染之前检查Windows Messaging子目录以确定下面注册键是否存在:
HKEY_CURRENT_USER\Software\Microsoft\Windows
Messaging Subsystem
    在将病毒代码成功安装到染毒的机器中后,该病毒企图将代码作为邮件附件发送,
为了达到该目的,它对收件箱中的所有邮件进行回复。
典型的邮件如下:
邮件主题: RE:
消息主体:
附件: EMANUEL.EXE

--
                      ◇┉┉┉┉┉┉┉┉┉┉┉┉┉┉┉┉┉◇
                      ┇\║║/   Your Friend-------Emanuel┇
                      ┇ ◎◎    http://www.mansing.com   ┇
                      ┇ ┃┃    E-mail:  emanuel@21cn.com┇
                      ┇ □□□□□□□□   我就是小飞象  ┇
                      ◇┉┉┉┉┉┉┉┉┉┉┉┉┉┉┉┉┉◇

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: biometrics.hit.edu.c]
--
※ 转载:.哈工大紫丁香 bbs.hit.edu.cn.[FROM: biometrics.hit.edu.c]
[百宝箱] [返回首页] [上级目录] [根目录] [返回顶部] [刷新] [返回]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:2.004毫秒