金山毒霸反病毒应急中心于9月19日截获该蠕虫，该蠕虫使用VC编写，主要采用邮件传播，并利用点对点工具及聊天的文件共享功能进传播。蠕虫在发送带毒邮件时，使用随机的主题、内容和附名称，特别是主题，多以退信、微软公司发布的补丁升级程序的形式发送。

简介

病毒行为

传播途径

结束进程

简介

病毒别名：I-Worm.Swen[AVP]，W32.Swen.A@mm[NAV]，W32/Swen@mm[McAfee]

处理时间：2003-09-19

威胁级别：★★★

中文名称：赛文

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为

1.复制病毒体和利用ZIP或RAR压缩的病毒体到%SystemRoot%中，文件名随机。同时，在%SystemRoot%中生成两个文件Germs0.dbv和Swen1.dat，用来存放病毒搜索到的Email地址和Mail服务器列表。

2.病毒会大量修改注册表：

在注册表的主键:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

中添加如下键值:

"<随机字符>"="<随机字符> autorun"

以使病毒能在系统重启后继续运行。

在注册表的主键:

修改如下键值：

HKEY_CLASS_ROOT\\file\\shell\\open\\command (其中为exe，com，pif，bat)

修改如下键值：

默认="<病毒文件名> "%%1" %%*"

在注册表的主键:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\explore下添加项，项名为<随机字符>。

修改注册表中HKEY_CLASS_ROOT下相应子键键值，将.exe/.reg/.scr/.com/.bat/.pif文件关联为病毒文件。

最后，在注册表的主键:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System

修改如下键值:

"DisableRegistryTools" = "1" （缺省为0）

用来禁止用户使用注册表编辑器：regedit.exe。

传播途径

3.大量发送带毒电子邮件，多以退信、微软公司发布的补丁升级程序的名义发送。同时，病毒邮件利用IE的IFRAME漏洞可以在用户不打开附件的情况下就可以自动下载到本地，并且立即执行。另外，蠕虫还会向它指定的新闻组发送带病毒的邮件。

4.通过KazaA点对点工具的文件共享功能进行传播，蠕虫会拷贝复本到该软件指定的共享文件夹中。

5.通过IRC聊天工具的文件共享功能进行传播，蠕虫会拷贝复本到该软件指定的共享文件夹中。

6.通过网络共享进行传播，蠕虫会查找网络中的共享文件夹，尝试将复本拷贝到这些系统中的以下文件夹内：

对于Win9x:

\\Windows\\Start Menu\\Programs\\Startup

对于Win2000/WinXP

\\Documents and Settings\\<被感染系统的登录用户名>\\Start Menu\\Programs\\Startup

如果登录用户名为：administrator,则该文件夹为：

\\Documents and Settings\\Administrator\\Start Menu\\Programs\\Startup

对于WinNT：

\\Winnt\\Profiles\\<被感染系统的登录用户名>\\Start Menu\\Programs\\Startup

如果登录用户名为：administrator,则该文件夹为：

\\Documents and Settings\\Administrator\\Start Menu\\Programs\\Startup

7.如果执行的病毒是以字母q、u、p、i开头的文件名，病毒将弹出对话框“Microsoft Internet Update Pack”，

无论选择那个按钮，病毒都将安装自己。

8.病毒会周期性的出现一个提示框，假装是MAPI32 Exception出错，并要求用户输入“用户名”，“口令”，“POP3”，“SMTP”等信息，试图盗取用户邮箱帐号密码。

9.当执行某一程序时可能会出现以下系统提示，表示系统出错，实则为禁止某些系统程序的正常运行。

10.病毒还会有一个链节计数病毒运行的次数。

结束进程

11.病毒会试图结束以下进程（都为反病毒程序和网络防火墙的进程）：

Azonealarm

zapro

wfindv32

webtrap

vsstat

vshwin32

vsecomr

vscan

vettray

vet98

vet95

vet32

vcontrol

vcleaner

tds2

tca

sweep

sphinx

serv95

safeweb

rescue

regedit

rav

pview

pop3trap

persfw

pcfwallicon

pccwin98

pccmain

pcciomon

pavw

pavsched

pavcl

padmin

outpost

nvc95

nupgrade

nupdate

normist

nmain

nisum

navw

navsched

navnt

navlu32

navapw32

nai_vs_stat

msconfig

mpftray

moolive

luall

lookout

lockdown2000

kpfw32

jedi

iomon98

iface

icsupp

icssuppnt

icmoon

icmon

icloadnt

icload95

ibmavsp

ibmasn

iamserv

iamapp

gibe

f-stopw

frw

fp-win

f-prot95

fprot95

f-prot

fprot

findviru

f-agnt95

espwatch

esafe

efinet32

ecengine

dv95

claw95

cfinet

cfind

cfiaudit

cfiadmin

ccshtdwn

ccapp

bootwarn

blackice

blackd

avwupd32

avwin95

avsched32

avp

avnt

avkserv

avgw

avgctrl

avgcc32

ave32

avconsol

autodown

apvxdwin

aplica32

anti-trojan

ackwin32

_avp