“Worm.Opossum.a”的意思、由来-中文百科全书

病毒简介

该病毒发作的时候会将自己拷贝到系统目录、临时目录和桌面，这些病毒副本也都采用WORD文档的图标，因此非常具有欺骗性。该病毒会修改.exe、.key、.ini和.reg的文件关联到病毒文件，使得每次打开这些类型文件的时候该病毒都会得到运行。病毒会禁止使用“运行”和“文件夹选项”，并共享系统磁盘。每月的1号、15号、25号该病毒都会尝试关闭系统，但由于某种原因这个动作并没有得到实施。通过在mIRC和PIRCH98的脚本配置文件中写入一些内容，使得该病毒也能通过这二个IRC聊天系统传播。病毒会以Microsoft的名义回复Outlook里面的邮件，这些邮件都带有病毒的副本，邮件正文欺骗用户打开附件，导致感染病毒。

病毒文件

禁止使用“文件夹选项”：

1)将病毒拷贝到：

桌面\\Sir.d4ng3

%Temp%\\help32.exe

%SystemDriver%\tdetect32.exe

%SystemDriver%\\Trash\\svchost.exe

%System%\\regedit.exe

%System%\\regedit32.exe

%System%\\regscan32.exe

%System%\\Preventivo.doc[若干个空格].pif

%System%\\Documents.doc[若干个空格].pif

%System%\\Documento.doc[若干个空格].pif

%System%\\logo10090.gif[若干个空格].pif

%System%\\excel_file.doc[若干个空格].pif

%SystemRoot%\\598

%SystemRoot%\\w32.exe

%SystemRoot%\\regedit.exe

%SystemRoot%\\regedit32.exe

%SystemRoot%\tdetect32.exe

2)在注册表中为病毒添加启动项：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

"NetSyStem"="Sir.d4ng3"

"Microsoft"="%SystemRoot%\\w32.exe"

"ScanRegistry"="%System%\\regscan32.exe"

(Default)="%Temp%\\help32.exe"

"Trash"="%SystemDriver%\\Trash\\svchost.exe"

"[随机名称]"="%SystemRoot%\\598"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices

(Default)="%SystemRoot%\tdetect32.exe"

3)修改.reg、.key、.ini和.exe的文件关联到病毒文件：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\regfile\\shell\\open

"command"="D4nG3"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\keyfile\\shell\\open

"command"="D4nG3"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\inifile\\shell\\open

"command"="D4nG3"

HKEY_CLASSES_ROOT\\.d4ng3

(Default)＝"exefile"

HKEY_CLASSES_ROOT\\.d4ng3\\PersistentHandler

(Default)＝"{098f2470-bae0-11cd-b579-08002b30bfeb}"

4)禁止使用“运行”和“文件夹选项”，并共享系统磁盘。

5)每月的1号、15号、25号该病毒都会尝试关闭系统，但由于某种原因这个动作并没有得到实施。

6)向mIRC的脚本配置文件script.ini中写入以下内容，使得病毒能通过该系统传播：

[script]

n0=ON 1:JOIN:#:/dcc send $nick [源病毒路径]

7)向PIRCH98的脚本配置文件events.ini中写入以下内容，使得病毒能通过该系统传播：

[Levels]

Enabled=1

Count=6

Level1=000-Unknowns

000-UnknownsEnabled=1

Level2=100-Level 100

100-Level 100Enabled=1

Level3=200-Level 200

200-Level 200Enabled=1

Level4=300-Level 300

300-Level 300Enabled=1

Level5=400-Level 400

400-Level 400Enabled=1

Level6=500-Level 500

500-Level 500Enabled=1

[000-Unknowns]

User1=*!*@*

UserCount=1

Event1=ON JOIN:#:/msg $nick Hi there

EventCount=1

[100-Level 100]

User1=*!*@*

UserCount=1

Event1=ON JOIN:#:/dcc send $nick [源病毒路径]

EventCount=1

[200-Level 200]

UserCount=0

EventCount=0

[300-Level 300]

UserCount=0

EventCount=0

[400-Level 400]

UserCount=0

EventCount=0

[500-Level 500]

UserCount=0

EventCount=0

8)以Microsoft的名义（support@microsoft.com）给Outlook里面的邮件回信：

取下面的某一行做为邮件的主题：

Microsoft Updates News

Security Updates News

Service Pack 2 Updates News

System Updates News

Microsoft Operating System Updates News

Microsoft's big security Update News

Update News

Microsoft News

Microsoft Update News Letter

Microsoft Security Updates News

邮件正文：

Service pack 2 is due soon for microsoft users, Bug fixes, internet explorer patches and NEW security features. Please read more from the file attcahed to this microsoft news letter.

取下面的某一行做为邮件附件名：

Preventivo.doc[若干个空格].pif

Documents.doc[若干个空格].pif

Documento.doc[若干个空格].pif

logo10090.gif[若干个空格].pif

excel_file.doc[若干个空格].pif

9)通过修改注册表为病毒的运行创造条件：

HKEY_LOCAL_MACHINE\\Software

"sshare"="In Progress.."

HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\LanmanServer\\Shares

"garbage"="CSCFlags=0"

HKEY_CURRENT_USER\\Identities\\{10C488D7-43C5-4D55-A9B3-F49C852C64C8}\\Software\\Microsoft\\Outlook Express\\5.0\\Mail

"Warn on Mapi "=0x0

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer

"DisallowRun"="1"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\DisallowRun

"1"="regedit.exe"

"2"="taskmgr.exe"

"3"="notepad.exe"

"4"="wordpad.exe"

"5"="write.exe"

"6"="wuauclt.exe"

"7"="msconfig.exe"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer

"NoFolderOptions"=0x1

"NoWinKeys"=0x1

"NoViewContextMenu"=0x1

"NoClose"=0x1

"NoSetFolders"=0x1

"NoRun"=0x1

"NoFind"=0x1

词条	Worm.Opossum.a
释义	这是一个通过电子邮件、网络共享和二款IRC聊天软件（mIRC和PIRCH98）传播的蠕虫病毒。该病毒采用了WORD文档的图标，取了个比较有吸引力的名字，用户很可能误以为这是一个WORD文档而好奇地去打开它，从而感染该病毒。病毒简介(病毒别名处理时间威胁级别中文名称病毒类型影响系统) 病毒行为病毒文件病毒简介病毒别名 Email-Worm.Win32.Opossum.a [AVP] 处理时间威胁级别中文名称负鼠病毒类型蠕虫影响系统 Win9x / WinNT 病毒行为该病毒发作的时候会将自己拷贝到系统目录、临时目录和桌面，这些病毒副本也都采用WORD文档的图标，因此非常具有欺骗性。该病毒会修改.exe、.key、.ini和.reg的文件关联到病毒文件，使得每次打开这些类型文件的时候该病毒都会得到运行。病毒会禁止使用“运行”和“文件夹选项”，并共享系统磁盘。每月的1号、15号、25号该病毒都会尝试关闭系统，但由于某种原因这个动作并没有得到实施。通过在mIRC和PIRCH98的脚本配置文件中写入一些内容，使得该病毒也能通过这二个IRC聊天系统传播。病毒会以Microsoft的名义回复Outlook里面的邮件，这些邮件都带有病毒的副本，邮件正文欺骗用户打开附件，导致感染病毒。病毒文件禁止使用“文件夹选项”： 1)将病毒拷贝到：桌面\\Sir.d4ng3 %Temp%\\help32.exe %SystemDriver%\tdetect32.exe %SystemDriver%\\Trash\\svchost.exe %System%\\regedit.exe %System%\\regedit32.exe %System%\\regscan32.exe %System%\\Preventivo.doc[若干个空格].pif %System%\\Documents.doc[若干个空格].pif %System%\\Documento.doc[若干个空格].pif %System%\\logo10090.gif[若干个空格].pif %System%\\excel_file.doc[若干个空格].pif %SystemRoot%\\598 %SystemRoot%\\w32.exe %SystemRoot%\\regedit.exe %SystemRoot%\\regedit32.exe %SystemRoot%\tdetect32.exe 2)在注册表中为病毒添加启动项： HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run "NetSyStem"="Sir.d4ng3" "Microsoft"="%SystemRoot%\\w32.exe" "ScanRegistry"="%System%\\regscan32.exe" (Default)="%Temp%\\help32.exe" "Trash"="%SystemDriver%\\Trash\\svchost.exe" "[随机名称]"="%SystemRoot%\\598" HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices (Default)="%SystemRoot%\tdetect32.exe" 3)修改.reg、.key、.ini和.exe的文件关联到病毒文件： HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\regfile\\shell\\open "command"="D4nG3" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\keyfile\\shell\\open "command"="D4nG3" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\inifile\\shell\\open "command"="D4nG3" HKEY_CLASSES_ROOT\\.d4ng3 (Default)＝"exefile" HKEY_CLASSES_ROOT\\.d4ng3\\PersistentHandler (Default)＝"{098f2470-bae0-11cd-b579-08002b30bfeb}" 4)禁止使用“运行”和“文件夹选项”，并共享系统磁盘。 5)每月的1号、15号、25号该病毒都会尝试关闭系统，但由于某种原因这个动作并没有得到实施。 6)向mIRC的脚本配置文件script.ini中写入以下内容，使得病毒能通过该系统传播： [script] n0=ON 1:JOIN:#:/dcc send $nick [源病毒路径] 7)向PIRCH98的脚本配置文件events.ini中写入以下内容，使得病毒能通过该系统传播： [Levels] Enabled=1 Count=6 Level1=000-Unknowns 000-UnknownsEnabled=1 Level2=100-Level 100 100-Level 100Enabled=1 Level3=200-Level 200 200-Level 200Enabled=1 Level4=300-Level 300 300-Level 300Enabled=1 Level5=400-Level 400 400-Level 400Enabled=1 Level6=500-Level 500 500-Level 500Enabled=1 [000-Unknowns] User1=!@* UserCount=1 Event1=ON JOIN:#:/msg $nick Hi there EventCount=1 [100-Level 100] User1=!@* UserCount=1 Event1=ON JOIN:#:/dcc send $nick [源病毒路径] EventCount=1 [200-Level 200] UserCount=0 EventCount=0 [300-Level 300] UserCount=0 EventCount=0 [400-Level 400] UserCount=0 EventCount=0 [500-Level 500] UserCount=0 EventCount=0 8)以Microsoft的名义（support@microsoft.com）给Outlook里面的邮件回信：取下面的某一行做为邮件的主题： Microsoft Updates News Security Updates News Service Pack 2 Updates News System Updates News Microsoft Operating System Updates News Microsoft's big security Update News Update News Microsoft News Microsoft Update News Letter Microsoft Security Updates News 邮件正文： Service pack 2 is due soon for microsoft users, Bug fixes, internet explorer patches and NEW security features. Please read more from the file attcahed to this microsoft news letter. 取下面的某一行做为邮件附件名： Preventivo.doc[若干个空格].pif Documents.doc[若干个空格].pif Documento.doc[若干个空格].pif logo10090.gif[若干个空格].pif excel_file.doc[若干个空格].pif 9)通过修改注册表为病毒的运行创造条件： HKEY_LOCAL_MACHINE\\Software "sshare"="In Progress.." HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\LanmanServer\\Shares "garbage"="CSCFlags=0" HKEY_CURRENT_USER\\Identities\\{10C488D7-43C5-4D55-A9B3-F49C852C64C8}\\Software\\Microsoft\\Outlook Express\\5.0\\Mail "Warn on Mapi "=0x0 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer "DisallowRun"="1" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\DisallowRun "1"="regedit.exe" "2"="taskmgr.exe" "3"="notepad.exe" "4"="wordpad.exe" "5"="write.exe" "6"="wuauclt.exe" "7"="msconfig.exe" HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer "NoFolderOptions"=0x1 "NoWinKeys"=0x1 "NoViewContextMenu"=0x1 "NoClose"=0x1 "NoSetFolders"=0x1 "NoRun"=0x1 "NoFind"=0x1
随便看	开源居委会开源弄潮：中国新农村建设筹资问题探究开源软核处理器OpenRisc的SOPC设计开源软件成熟度评估及选型指南开源软件之道开源系统运维开源系统运维网开源兴利开源许可证开源运动开源中学开缘开远古猿开远郡开远南桥电厂开远热带植物园开远市第十一中学开远市人民医院开远市中医院开允开运二年开运风水开运风水1001问开运风水大全集开运风水秘籍