“蠕虫病毒Win32.Luder.C”的意思、由来-中文百科全书

其它名称

Win32.Luder.C , Win32/Luder.C!corrupt, Win32/Mixor!Worm, W32.Mixor.C@mm (Symantec), W32/Nuwar@MM (McAfee), Email-Worm.Win32.Luder.d (Kaspersky)

病毒属性

蠕虫病毒

危害性

中等危害

流行程度

高

具体介绍

感染方式

运行时，Luder.C复制wservice.exe到%System%目录，并设置文件属性为隐藏。随后，修改以下注册表键值，以确保在每次系统启动时运行这个副本：

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\UpdateService = "%System%\\wservice.exe"

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\UpdateService = "%System%\\wservice.exe"

蠕虫还生成"Kusyyyy"互斥体，以确保它的多个副本不会同时运行。

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32； 95，98 和 ME 的是C:\\Windows\\System； XP 的是C:\\Windows\\System32。

传播方式

通过邮件传播

蠕虫从本地系统获取邮件地址来发送病毒。它通过以下注册表键值在Windows Address Book中查找邮件地址：

HKCU\\Software\\Microsoft\\WAB\\WAB4\\Wab File Name

接着，搜索从 'Z:\\' 到 'C:\\' 驱动器上带有以下扩展名的文件：

rar

scr

exe

htm

txt

hta

蠕虫在每个"htm"，"txt" 和"hta" 文件中查找邮件地址。

蠕虫执行DNS MX (mail exchanger)查询，为每个域找到适合的邮件服务器来发送病毒。它使用本地配置的默认的DNS服务器来执行这些查询。

Luder.C尝试发送邮件到它收集的每个邮件地址。蠕虫发送的邮件带有以下特点：

发件地址：

蠕虫使用任意名称（从蠕虫自带的一个列表中选择）带有一个任意数字，和接受目标的域名结合，生成一个伪造的收件地址，例如：Clarissa26@domain.com。

主题可能是：

URGENT NEWS!

ATTN

NEWS!

Incredible news!

READ AND RESEND ASAP!

ATTN TO EVERYBODY!

URG

White house news!

邮件内容可能是：

President Bush DEAD! Read attached file!

President Putin dead! Read more in attached file!

Nuclear WAR in USA! Read attached file!

Nuclear War in Russia! Read news in file!

GLOBAL NUCLEAR WAR JUST STARTED! News in file.

Putin and Bush starts NUCLEAR WAR! Check the file!

3rd Glogal War Just Started!!! Read more in file!

附件名称：

read me.exe

通过文件感染－PE文件

Luder.C每次发现一个带有"exe" 或 "scr" 扩展名的文件，都使用<random name>.t文件名复制病毒到文件所在目录，并设置为隐藏文件。

注：<random name>由8个小写字母组成。例如："vrstmkgk.t"。

Luder.C检查文件的PE头，来查看是否有足够的空间运行，并在中间插入一个代码。另外，它不会感染已经被感染的DLL或可执行文件。如果被运行，它首先运行相关的<random name>.t。Luder.C在被感染文件的PE头的timestamp中写入666作为一个标记，避免再次感染同一文件。

注：生成的<random name>.t文件即使不满足感染的所有条件，也不会被Luder.C修改。

Win32/Sinray trojan

Win32/Sinhar trojan

Win32/Sinteri trojan

终止进程

每隔4秒，如果注册表编辑器(regedit.exe)和名称中包含以下字符串的其它进程（显示在Windows Title Bar中）正在运行，Luder.C就会尝试终止注册表编辑器和这些进程：

"anti"

"viru"

"troja"

"avp"

"nav"

"rav"

"reged"

"nod32"

"spybot"

"zonea"

"vsmon"

"avg"

"blackice"

"firewall"

"msconfig"

"lockdown"

"f-pro"

"hijack"

"taskmgr"

"mcafee"

修改系统设置

Luder.C修改以下注册表键值，使得"Windows Firewall/Internet Connection Sharing (ICS)"（还称为"Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)"）服务失效：

HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Start = 4

清除

KILL安全胄甲InoculateIT 23.73.42，Vet 30.3.3172版本可检测/清除此病毒。

词条	蠕虫病毒Win32.Luder.C
释义	Win32/Luder.C是一种通过邮件传播的蠕虫，并寄存在PE 文件和RAR 文件中进行传播。另外，它还会生成一个特洛伊，用来下载并运行其它的恶意程序。它是大小为15,947 字节，以 UPX格式加壳的Win32可运行程序。其它名称病毒属性危害性流行程度具体介绍(感染方式) 传播方式(通过邮件传播通过文件感染－PE文件通过文件感染－RAR文件) 危害(下载并运行任意文件终止进程修改系统设置) 清除其它名称 Win32.Luder.C , Win32/Luder.C!corrupt, Win32/Mixor!Worm, W32.Mixor.C@mm (Symantec), W32/Nuwar@MM (McAfee), Email-Worm.Win32.Luder.d (Kaspersky) 病毒属性蠕虫病毒危害性中等危害流行程度高具体介绍感染方式运行时，Luder.C复制wservice.exe到%System%目录，并设置文件属性为隐藏。随后，修改以下注册表键值，以确保在每次系统启动时运行这个副本： HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\UpdateService = "%System%\\wservice.exe" HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\UpdateService = "%System%\\wservice.exe" 蠕虫还生成"Kusyyyy"互斥体，以确保它的多个副本不会同时运行。注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32； 95，98 和 ME 的是C:\\Windows\\System； XP 的是C:\\Windows\\System32。传播方式通过邮件传播蠕虫从本地系统获取邮件地址来发送病毒。它通过以下注册表键值在Windows Address Book中查找邮件地址： HKCU\\Software\\Microsoft\\WAB\\WAB4\\Wab File Name 接着，搜索从 'Z:\\' 到 'C:\\' 驱动器上带有以下扩展名的文件： rar scr exe htm txt hta 蠕虫在每个"htm"，"txt" 和"hta" 文件中查找邮件地址。蠕虫执行DNS MX (mail exchanger)查询，为每个域找到适合的邮件服务器来发送病毒。它使用本地配置的默认的DNS服务器来执行这些查询。 Luder.C尝试发送邮件到它收集的每个邮件地址。蠕虫发送的邮件带有以下特点：发件地址：蠕虫使用任意名称（从蠕虫自带的一个列表中选择）带有一个任意数字，和接受目标的域名结合，生成一个伪造的收件地址，例如：Clarissa26@domain.com。主题可能是： URGENT NEWS! ATTN NEWS! Incredible news! READ AND RESEND ASAP! ATTN TO EVERYBODY! URG White house news! 邮件内容可能是： President Bush DEAD! Read attached file! President Putin dead! Read more in attached file! Nuclear WAR in USA! Read attached file! Nuclear War in Russia! Read news in file! GLOBAL NUCLEAR WAR JUST STARTED! News in file. Putin and Bush starts NUCLEAR WAR! Check the file! 3rd Glogal War Just Started!!! Read more in file! 附件名称： read me.exe latest news.exe never.exe a.exe about me.exe last.exe war.exe truth.exe open.exe 通过文件感染－PE文件 Luder.C每次发现一个带有"exe" 或 "scr" 扩展名的文件，都使用<random name>.t文件名复制病毒到文件所在目录，并设置为隐藏文件。注：<random name>由8个小写字母组成。例如："vrstmkgk.t"。 Luder.C检查文件的PE头，来查看是否有足够的空间运行，并在中间插入一个代码。另外，它不会感染已经被感染的DLL或可执行文件。如果被运行，它首先运行相关的<random name>.t。Luder.C在被感染文件的PE头的timestamp中写入666作为一个标记，避免再次感染同一文件。注：生成的<random name>.t文件即使不满足感染的所有条件，也不会被Luder.C修改。通过文件感染－RAR文件 Luder.C添加<random filename>.exe到每个发现的RAR文档中，这里的<random filename>是7个字母与数字，例如"dnoCV18.exe"。每当Luder.C运行时，文档可能被多次感染。危害下载并运行任意文件 Luder.C在被感染机器上生成Win32/Sinteri!downloader特洛伊。同时，这个特洛伊下载并运行以下恶意程序： Win32/Luder.H worm Win32/Sinray trojan Win32/Sinhar trojan Win32/Sinteri trojan 终止进程每隔4秒，如果注册表编辑器(regedit.exe)和名称中包含以下字符串的其它进程（显示在Windows Title Bar中）正在运行，Luder.C就会尝试终止注册表编辑器和这些进程： "anti" "viru" "troja" "avp" "nav" "rav" "reged" "nod32" "spybot" "zonea" "vsmon" "avg" "blackice" "firewall" "msconfig" "lockdown" "f-pro" "hijack" "taskmgr" "mcafee" 修改系统设置 Luder.C修改以下注册表键值，使得"Windows Firewall/Internet Connection Sharing (ICS)"（还称为"Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)"）服务失效： HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Start = 4 清除 KILL安全胄甲InoculateIT 23.73.42，Vet 30.3.3172版本可检测/清除此病毒。
随便看	花漾家族花漾阶梯花漾漫舞花漾明星花漾明星KIRARIN 花漾年华花漾山谷花漾甜心女士香水花漾物语花腰傣花腰傣饮食习俗花腰新娘花腰彝族花妖花妖兽花妖新娘花瑶花瑶“讨僚皈” 花瑶花花瑶挑花花瑶呜哇山歌花药花药离体培养花药培养花耀飞