病毒别名： 处理时间：2006-12-25 威胁级别：★

中文名称：恶鹰 病毒类型：蠕虫 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个会通过邮件发送自己的蠕虫病毒，它还能通过驱动隐藏自己在系统中的信息，

使用户无法察觉病毒的存在。

1:拷贝文件

C:\\Documents and Settings\\fish\\Application Data\\hidn\\hldrrr.exe

C:\\Documents and Settings\\fish\\Application Data\\hidn\\hidn2.exe

释放驱动

C:\\Documents and Settings\\fish\\Application Data\\hidn\\m_hook.sys

2:显示信息

病毒完成自拷贝后,会在C盘根目录下创建一个error.txt的文档,

里面写入"UTF-8 decoding error."的信息,之后会用记事本打开该文档,

再加上病毒本身的图标是一个记事本文档的图标,使用户误以为是打开了

格式错误的txt文档.

3:添加自启动项

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

drv_st_key -> C:\\Documents and Settings\\fish\\Application Data\\hidn\\hidn2.exe

使病毒能自启动

3:驱动隐藏

病毒使用了系统级的HOOK,更改特定几个函数的地址,使其指向自己的驱动文件

实现隐藏自己所有的信息的目的,使病毒无法被找到

被HOOK的函数如下:

NtCreateFile

NtEnumeraterKey

NtEnumerateValueKey

NtQueryDirectoryFile

NtQueryKey

NtQuerySystemInformation

4:发邮件

病毒会枚举OutLook地址本中的所有地址，并往地址上发送附带了自己本体的邮件

邮件标题为price_new, price_ , price, new ,price 的随机组合

邮件内容为

It is Protected

thank you !!!

New year (日期) 's discounts

病毒还会在信里面附加一个网址,地址为

http://ujscie.***.pl/999.gif

http://1point2.***.nl/999.gif

http://apro***.com/999.gif

......(还有很多,病毒随机选一个添加)

这些地址都已经失效,很有可能是病毒的其它版本的下载地址.

之后病毒会使用网上的邮件发送引擎发送邮件,发送引擎如下:

http://vera********.com/1/eml.php

http://www.titan******.com/images/1/eml.php

http://yong*****.co.kr/1/eml.php

......

把自己加入邮件的附件中,发送到Outlook地址部上的所有地址

不发送到ser******@gmail.com