Virus 版 (精华区)

发信人: zanwilson (flyingeagle), 信区: Virus
标  题: Magistr病毒技术细节
发信站: 哈工大紫丁香 (2001年12月10日20:11:38 星期一), 站内信件

作者: X.P.
日期: 2001年03月15日
W32.Magistr.24876@mm是带有电子邮件蠕虫特征的病毒, 而且具有网络意识
。它会感染所有的非DLL系统文件，还能够发送消息给从Windows地址簿，微软的Outloo
k以及Outlook Express发件箱文件夹，Netscape地址簿中搜集的地址。该邮件消息最多
可以带六个附件，并伴有随机生成的主题行。
别名: I-Worm.Magistr, PE_MAGISTR.A, W32.Magistr@mm
类别: 病毒, 蠕虫
受染文件长度： 24,876
病毒发现日期： 三月13日，2001
危险程度：高级
破坏性：
负载：
大规模的电子邮件 利用来自Windows地址簿文件和Outlook Express发件箱文件夹中的电
子邮件地址。
导致系统崩溃: 覆盖重新写硬盘，清除CMOS，清BIOS的内容。
泄露机密信息: 可能给其他人发送机密的Microsoft Word文档。
病毒属性：
电子邮件主题: 随机生成的可多达60个字符长的文字。
附件名称: 一个随机命名的受染可执行文件和一些随机选中的文本或文档文件。
感染目标: 所有的Windows PE 文件而非DLL文件。
技术描述
W32.Magistr.24876@mm感染所有Windows Portable Executable（PE）文件，而DLL系统
文件是例外。病毒将自己附加在受染文件之后。受染文件的大小至少是25KB。
W32.Magistr.24876@mm具有网络意识。它会列举出网络中的计算机并搜索以如下名字命
名的Windows文件夹：
Winnt
Win95
Win98
Windows
如果这些文件夹之一包含一个Win.ini文件，受染文件就会拷贝到那个文件夹，Win.ini
文件将被修改成包含指向受染文件路径的Run=line命令行。

W32.Magistr.24876@mm同时还有电子邮件蠕虫特征。它拥有自身的SMTP处理器推动电子
邮件的发送过程。病毒从Windows地址簿，Microsoft Outlook和Outlook Express发件箱
文件夹，以及Netscape地址簿搜集地址。邮件消息包含一个随机的主题行，最长到60个
字符。消息的正文本身也是随机的。它附带另一个受染的可执行文件，还可能附加五个
随机选中的文本文件和Microsoft Word文档。

当一个带有W32.Magistr.24876@mm的受感染文件被执行，病毒将企图在内存中定位Expl
orer.阿凶恶。如果它成功，就会搜索可写的扇区，插入一段120字节的代码，然后启动
TranslateMessage函数。随后，原始主机将被执行。

一旦TranslateMessage函数被调用，会建立一条线索而TranslateMessage函数将被取下
。这条线索会在开始感染和发送邮件过程以前沉睡大约三分钟。随后，该线索即检查系
统是否安装了Microsoft Outlook Express，Netscape Messenger，或Internet Mail和
News等邮件客户端程序。它使用自身的SMTP引擎向外发送自己。当它搜索到电子邮件地
址簿，线索就会感染所有不是DLL文件的Windows PE文件。

此病毒包含了几种类似W32.Kriz的负载，完成以下破坏行为：
覆盖硬盘
删除CMOS内容
清空BIOS
对于那些感染了W32.Magistr.24876@mm的文件，入口指向的地址保持一致，但是多达51
2字节的垃圾代码放置于那里。这允许控制传输到最后一个扇区。有一段多形态加密的正
文补充到最后一个扇区。这段代码是针对反调试功能设计的。 
--
珍惜现在 珍惜拥有

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 天外飞仙]