“Worm.Shoho.a”的意思、由来-中文百科全书

病毒信息

病毒别名：I-Worm.Welyah[AVP], W32.Shoho@mm[NAV], W32/Shoho.a@MM, W32/Welyah.A@mm

处理时间：2001-12-20

威胁级别：★★

中文名称：笑哈哈

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为

该蠕虫病毒通过电子邮件传播，它利用了微软Iframe漏洞，一旦预览或打开带毒邮件，其附件病毒程序README.TXT<随机数量的空格>.pif就会自动运行。附件程序乍一看来好似README.TXT文件，其实它的真正扩展名是.pif（一种32位的PE文件格式）。该蠕虫是用Visual Basic 6编写的

一，添加或删除文件

1.病毒附件被执行后，它会将WINL0G0N.EXE（注意：0是零，并非字母O）文件拷贝至%SystemRoot%及%System%目录下。同时可能在本地系统进行添加或删除文件。

可能删除的文件（Win9x系统）如下：

email.txt

emailinfo.txt

c:\\WINDOWS\\DRWATSON

c:\\WINDOWS\\DRWATSON\\FRAME.HTM

c:\\WINDOWS\\email.txt

c:\\WINDOWS\\SYSTEM\\WINL0G0N.EXE

c:\\WINDOWS\\WINL0G0N.EXE

可能删除的文件（Win9x系统）如下：

c:\\WINDOWS\\1STBOOT.BMP

c:\\WINDOWS\\ASD.EXE

c:\\WINDOWS\\CLEANMGR.EXE

c:\\WINDOWS\\CLSPACK.EXE

c:\\WINDOWS\\CONTROL.EXE

c:\\WINDOWS\\CVTAPLOG.EXE

c:\\WINDOWS\\DEFRAG.EXE

c:\\WINDOWS\\DOSREP.EXE

c:\\WINDOWS\\DRWATSON.EXE

c:\\WINDOWS\\DRWATSON

c:\\WINDOWS\\DRWATSON\\FRAME.HTM

c:\\WINDOWS\\EMM386.EXE

c:\\WINDOWS\\HIMEM.SYS

c:\\WINDOWS\\HWINFO.EXE

c:\\WINDOWS\\JAUTOEXP.DAT

c:\\WINDOWS\\Kacheln.bmp

c:\\WINDOWS\\Kreise.bmp

c:\\WINDOWS\\LICENSE.TXT

c:\\WINDOWS\\LOGOS.SYS

c:\\WINDOWS\\LOGOW.SYS

c:\\WINDOWS\\MORICONS.DLL

c:\\WINDOWS\DDEAPI.DLL

c:\\WINDOWS\DDENB.DLL

c:\\WINDOWS\ETDET.INI

c:\\WINDOWS\\RAMDRIVE.SYS

c:\\WINDOWS\\RUNHELP.CAB

c:\\WINDOWS\\SCRIPT.DOC

c:\\WINDOWS\\Setup.bmp

c:\\WINDOWS\\SMARTDRV.EXE

c:\\WINDOWS\\Streifen.bmp

c:\\WINDOWS\\SUBACK.BIN

c:\\WINDOWS\\SUPPORT.TXT

c:\\WINDOWS\\TELEPHON.INI

c:\\WINDOWS\\W98SETUP.BIN

c:\\WINDOWS\\Wellen.bmp

c:\\WINDOWS\\WIN.COM

c:\\WINDOWS\\WIN.INI

c:\\WINDOWS\\WINSOCK.DLL

其中添加的emailinfo.txt文件当中包含有准备发往SMTP服务器的邮件，而email.txt是一个MIME文件，它包含编码为WINL0G0N.EXE的Base64及iframe 漏洞。

二，建立连接

2.此蠕虫有它自己的SMTP引擎，能够建立SMTP连接。它还会查找硬盘中所有包含邮件地址的文件（如*.eml，*.wab等），一旦找到便会保存在emailinfo.txt文件当中。然后向保存在该文件中的所有地址发送带毒邮件：

主题为“Welcome to Yahoo! Mail”的邮件。

主题: Welcome to Yahoo! Mail

附件: Readme.txt<随机数量的空格>.pif

三，更改注册表

3.病毒会在注册表中以下子键中：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_USERS\\.Default\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

添加如下键值以便使自己能够在系统重启后运行：

"WINL0G0N"="c:\\windows\\WINL0G0N.EXE"

四，病毒表现

4.当系统重新启动时，WINL0G0N.EXE文件自动执行，并可能导致常规性保护错误，而同时由于一些文件被删，系统可能无法正确启动Windows，这种情况在Win9x上会出现，而在WinNT系统上还未遇到。但在任何系统上，例行的收发邮件可能会不正常。

词条	Worm.Shoho.a
释义	病毒信息病毒行为(一，添加或删除文件二，建立连接三，更改注册表四，病毒表现) 病毒信息病毒别名：I-Worm.Welyah[AVP], W32.Shoho@mm[NAV], W32/Shoho.a@MM, W32/Welyah.A@mm 处理时间：2001-12-20 威胁级别：★★ 中文名称：笑哈哈病毒类型：蠕虫影响系统：Win9x / WinNT 病毒行为该蠕虫病毒通过电子邮件传播，它利用了微软Iframe漏洞，一旦预览或打开带毒邮件，其附件病毒程序README.TXT<随机数量的空格>.pif就会自动运行。附件程序乍一看来好似README.TXT文件，其实它的真正扩展名是.pif（一种32位的PE文件格式）。该蠕虫是用Visual Basic 6编写的一，添加或删除文件 1.病毒附件被执行后，它会将WINL0G0N.EXE（注意：0是零，并非字母O）文件拷贝至%SystemRoot%及%System%目录下。同时可能在本地系统进行添加或删除文件。可能删除的文件（Win9x系统）如下： email.txt emailinfo.txt c:\\WINDOWS\\DRWATSON c:\\WINDOWS\\DRWATSON\\FRAME.HTM c:\\WINDOWS\\email.txt c:\\WINDOWS\\SYSTEM\\WINL0G0N.EXE c:\\WINDOWS\\WINL0G0N.EXE 可能删除的文件（Win9x系统）如下： c:\\WINDOWS\\1STBOOT.BMP c:\\WINDOWS\\ASD.EXE c:\\WINDOWS\\CLEANMGR.EXE c:\\WINDOWS\\CLSPACK.EXE c:\\WINDOWS\\CONTROL.EXE c:\\WINDOWS\\CVTAPLOG.EXE c:\\WINDOWS\\DEFRAG.EXE c:\\WINDOWS\\DOSREP.EXE c:\\WINDOWS\\DRWATSON.EXE c:\\WINDOWS\\DRWATSON c:\\WINDOWS\\DRWATSON\\FRAME.HTM c:\\WINDOWS\\EMM386.EXE c:\\WINDOWS\\HIMEM.SYS c:\\WINDOWS\\HWINFO.EXE c:\\WINDOWS\\JAUTOEXP.DAT c:\\WINDOWS\\Kacheln.bmp c:\\WINDOWS\\Kreise.bmp c:\\WINDOWS\\LICENSE.TXT c:\\WINDOWS\\LOGOS.SYS c:\\WINDOWS\\LOGOW.SYS c:\\WINDOWS\\MORICONS.DLL c:\\WINDOWS\DDEAPI.DLL c:\\WINDOWS\DDENB.DLL c:\\WINDOWS\ETDET.INI c:\\WINDOWS\\RAMDRIVE.SYS c:\\WINDOWS\\RUNHELP.CAB c:\\WINDOWS\\SCRIPT.DOC c:\\WINDOWS\\Setup.bmp c:\\WINDOWS\\SMARTDRV.EXE c:\\WINDOWS\\Streifen.bmp c:\\WINDOWS\\SUBACK.BIN c:\\WINDOWS\\SUPPORT.TXT c:\\WINDOWS\\TELEPHON.INI c:\\WINDOWS\\W98SETUP.BIN c:\\WINDOWS\\Wellen.bmp c:\\WINDOWS\\WIN.COM c:\\WINDOWS\\WIN.INI c:\\WINDOWS\\WINSOCK.DLL 其中添加的emailinfo.txt文件当中包含有准备发往SMTP服务器的邮件，而email.txt是一个MIME文件，它包含编码为WINL0G0N.EXE的Base64及iframe 漏洞。二，建立连接 2.此蠕虫有它自己的SMTP引擎，能够建立SMTP连接。它还会查找硬盘中所有包含邮件地址的文件（如.eml，.wab等），一旦找到便会保存在emailinfo.txt文件当中。然后向保存在该文件中的所有地址发送带毒邮件：主题为“Welcome to Yahoo! Mail”的邮件。主题: Welcome to Yahoo! Mail 附件: Readme.txt<随机数量的空格>.pif 三，更改注册表 3.病毒会在注册表中以下子键中： HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run HKEY_USERS\\.Default\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 添加如下键值以便使自己能够在系统重启后运行： "WINL0G0N"="c:\\windows\\WINL0G0N.EXE" 四，病毒表现 4.当系统重新启动时，WINL0G0N.EXE文件自动执行，并可能导致常规性保护错误，而同时由于一些文件被删，系统可能无法正确启动Windows，这种情况在Win9x上会出现，而在WinNT系统上还未遇到。但在任何系统上，例行的收发邮件可能会不正常。
随便看	金优9017 金优9018 金优938 金优966 金优968 金优974 金优975 金优978 金优988 金优9901 金优R12 金优R源5 金优郴97 金优敦28 金优多系1号金优怀181 金优怀182 金优怀183 金优怀210 金优怀211 金优明67 金优瑞9 金优四号F1 金优晚3 金优专用汽车改装有限公司