§ 概要

病毒别名：爱情后门变种V【瑞星】

处理时间：2004-03-12

威胁级别：★★★

中文名称：恶邮差变种U

病毒类型：蠕虫

影响系统：Win9x/Win2000/Winnt/WinXP

病毒行为:

“恶邮差”系例

编写工具:

vc多重压缩

传染条件:

利用邮件和局域网高速传播

发作条件:

系统修改:

A、自我复制到

%SYSDIR%IEXPLORE.EXE

%SYSDIR%kernel66.dll

%SYSDIR%RAVMOND.exe

%SYSDIR%SysBoot.EXE

%SYSDIR%WinDriver.exe

%SYSDIR%winexe.exe

%SYSDIR%WinGate.exe

%SYSDIR%WinHelp.exe

%DRIVER%SysBoot.exe

B、病毒将释放一个DLL文件，此文件将在系统中殖入远程后门代码

%SYSDIR%

eg678.dll

%SYSDIR%Task688.dll

病毒将释放一个利用QQ发送消息传播的病毒：“Worm.LovGate.v.QQ”，相关文件名目录为：

%SYSDIR%internet.exe

%SYSDIR%svch0st.exe

C、添加以下键值

HKEY_CLASSES_ROOTexefileshellopencommand

(默认) : %SYSDIR%WINEXE.EXE "%1" %*

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

"WinGate initialize" = "%SYSDIR%WINGATE.EXE -REMOTESHELL"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

"WinHelp" = "%SYSDIR%WINHELP.EXE"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

"Remote Procedure Call Locator" = "RUNDLL32.EXE REG678.DLL ONDLL_REG"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

"Program In Windows" = "%SYSDIR%IEXPLORE.EXE"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRunServices

"SystemTra" = "%WINDIR%SYSTRA.EXE /SYSTRA:KERNEL32.DLL"

在win9x下还修改系统文件：

WIN.INI

【WINDOWS】

"RUN" = "RAVMOND.EXE"

在win2k、NT、XP下注册服务：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesll_reg

Display Name = "ll_reg "

IMAGEPATH ＝ "RUNDLL32.EXE TASK688.DLL ONDLL_SERVER"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows Management Instrumentation Driver Extension

Display Name = "Windows Management Instrumentation Driver Extension"

IMAGEPATH = "%SYSTEM%WINDRIVER.EXE -START_SERVER"

病毒也将在每一个硬盘和可移动盘的根目录下建立一个文件：AUTORUN.INF的文件，内容为：

【AUTORUN】

Open="%DRIVER%:SysBoot.EXE" /StartExplorer

其中%DRIVER%为相应的驱动器。

这样在用户打开该驱动器后将运行病毒

D、病毒变相感染可执行文件

病毒可能会将EXE文件改名为ZMX文件，并设置属性为“隐藏”和“系统”，如：病毒搜索到一个名为“Winword.exe”的文件，会将其改名“Winword.zmx”并设置属性“隐藏”和“系统”，然后释放一个名为“Winword.exe”的病毒复本。

这个功能的条件是：病毒运行后，每隔一小时会检查系统中是否有“网络映射驱动器”和“可移动驱器”，如果有，侧会进行上述变向的文件感染。

E、Windows弱口令密码试探攻击、放出后门程序、盗取密码

F、病毒利用mapi及搜出的email地址，对收信箱里的邮件进行回复（传播）。

邮件标题随机从病毒体内选出

当病毒被运行后每隔一定时间发送一次通知邮件给

位于163.com的一个信箱,邮件内容为中毒系统的ip地址，以便利用病毒的后门进行控制

发作现象:

共享目录会塞满此蠕虫的文件，一般容易辨认。

§ 相关条目

计算机 木马 病毒 网络 软件 系统

• 民间瓷器
• 民间用豆腐治病验方
• 民间纠纷调解
• 民间舞蹈
• 民间讲座
• 民间谚语
• 民间陶器
• 民间陶瓷
• 民间隐形结构
• 民防
• 民防动员
• 民非组织
• 民食
• 民鸟
• 氓伍
• 氓伯
• 氓宇
• 氓家
• 氓庶
• 氓智
• 氓獠
• 氓蚩
• 氓隶
• 气
• 气、电、油混合动力装置