词条 | I-Worm/China-1 |
释义 | 病毒名称 I-Worm/China-1 病毒中文名 “中国一号”及其变种 病毒类型 网络蠕虫 危险级别 中 影响平台 WIN95,WIN98,WINME,WIN2000,WINNT,WINXP 感染对象 描述 当我们浏览含有病毒邮件时,病毒利用病毒体内VBScript代码在本地的可执行性(通过Windows Script Host进行),对当前计算机进行感染和破坏。即,一旦我们将鼠标箭头移到带有病毒体的邮件名上,就能受到该网络蠕虫的感染。该网络蠕虫利用的是OUTLOOK的漏洞。 这是针对微软信件浏览器的弱点和WINDOWS NT/2000、IIS的漏洞而编写出的一种传播能力很强的病毒,这一病毒同等于“欢乐时光”和“蓝色代码”病毒的合力。 病毒在WINDOWS\\SYSTEM目录内生成病毒文件RICHED20.DLL和LOAD.EXE,或README.EXE、MMC.EXE等,还在所有硬盘的根目录下生 ADMIN.DLL病毒文件,其字节数为:57344字节。 在功能的设计上,新的变种和“中国一号”病毒相同,变种的附件文件由原来的readme.exe修改为Sample.exe,文件的大小是:57344字节。而且释放的DLL的文件名称由admin.dll变成了Httpodbc.dll, 该程序在合法的WINDOWS系统下有该程序,该程序是在INTERNET网络上通讯使用的;原来拷贝到WINDOWS的SYSTEM目录下的文件是Mmc.exe,现在修改成为了Csrss.exe 文件。该文件的作用同样是病毒用来感染局域网络的;Csrss文件是"client-server runtime subsystem"(客户端-服务器实时子系统的简称); 在合法的WINDOWS系统下有该文件,该文件的作用是在控制台下建立删除线程使用的。 该病毒的变种的破坏作用与原病毒一样也是大量发送EMAIL邮件,邮件附件的名称是Sample.exe。但在邮件中是看不到该附件的。 病毒传染Html、nws、.eml、.doc、.exe等文件,而这些文件大部分被破坏或替换。 病毒还找出Email地址发送病毒本身,即附件长度约为79225字节,但打开看时,其长度为0。该文件实际上就是EMAIL病毒信件本身。 病毒还对SYSTEM.INI修改,在[boot]组下的 shell=explorer.exe load.exe -dontrunold, 这样在系统每次启动时该病毒就会传染,驻留内存。 病毒利用IIS5.0的漏洞,上传ADMIN.DLL在C:\\、D:\\...并修改用户的主页,在主页后加了一个链接README.EML。感染的电脑均不断生成一个个随机文件名的eml文件,病毒还在C:\\INETPUB\\Scripts或WINDOWS\\TEMP目录中不断复制为TFTP00X.DAT的文件,其字节数为:57344字节。 该网络蠕虫有4种传播方式: (1)通过EMAIL发送在客户端看不到的邮件附件程序,该部分利用了微软的OE信件浏览器的漏洞; (2)通过网络共享的方式来传染给局域网络上的网络邻居,我们在网络上使用电脑时,建议不设置完全的不使用密码的共享方式,设置密码可以有效的防止该病毒的传播; (3)通过没有补丁的IIS服务器来传播,该传播往往是病毒屡杀不绝的原因; (4)通过感染普通的文件来传播,在这一点上和普通的病毒程序相同。 实际上(1)和(3),我们普通的用户只有将微软的补丁程序打上,才能有效预防。 病毒利用许多方式来传播自己:首要的途径是通过EMAIL;还可以通过共享的磁盘分区来感染别的机器;试图将病毒文件本身拷贝到没有安装微软补丁的IIS服务器上; 同时还是一个可以感染本地磁盘上的文件以及本地的局域网络上的其他机器上的文件。 该蠕虫程序利用的是微软WEB的UNICODE 的遍历漏洞;该微软漏洞补丁程序的下载地址: http://www.microsoft.com/technet/security/bulletin/ms00-078.asp. 而当一个用户收到感染该病毒的信件时,由于该病毒利用了OUTLOOK的MIME漏洞,使得当用户即使只是预览该信件时,隐藏在该信笺中的病毒就会自动被执行,该漏洞的下载地址: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp. 当用户浏览含有该病毒的网络时,会提示下载一个含有该病毒的文件,实际上是一个eml信件文件。 在受感染的机器上,该病毒还会自动将C盘共享,使得外部的用户可以访问系统目录,而同时该病毒还可以建立一个guest访问的用户而且该用户的权限是系统管理员级别的。 该病毒感染的文件是在系统的注册表键值下的: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App Paths的常用的EXE文件. 病毒覆盖了WINDOWS的SYSTEM目录下的riched20.dll文件,使得该每次系统执行任何程序该病毒都会被执行。并将自身拷贝成load.exe存放在windows的system目录下。在该机器共享的机器上的EXE文件会被感染,而EML文件和NWS文件会被该病毒本身代替。病毒修改系统注册表使得所有的本地硬盘为共享,相应的键值为: HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\etwork\\LanMan\\[C$ -> Z$] 当然需要重新启动计算机,来使这些有效。只有C盘的共享不需要重新启动。 该病毒还可以修改IE的设置,使得系统、隐含属性的文件不显示。 该病毒在WINDOWS 的TEMP的临时目录下生成许多临时的文件。文件名称类似的一个是: mepA2C0.TMP.exe或者mepA2C2.TMP等,前者是该病毒执行文件本身,而后者是病毒的EMAIL形式本身,实际上这两者是同一一个文件:也就是病毒本身。所有的文件本身都 是系统隐含文件属性。 病毒存在的现象: (1)在C、D、E等逻辑盘符的根目录下有文件admin.dll,文件的长度是57344字节; (2)EMAIL文件readme.eml文件的存在,该文件长度约是79225字节,实际上是病毒文件的EMAIL表现形式; (3)C盘在没有手动修改的情况下,变成了可以共享的驱动器。 (4)该病毒存在的文件名称可能是以下的几种: load.exe;mmc.exe;riched20.dll;admin.dll;readme.exe;mep*.tmp.exe,这些都是病毒程序本身,必须直接删除。对于系统正常的文件只能使用系统安装盘或者干净的文件来覆盖,在这里的情况是mmc.exe和riched20.dll; (6)为了隐含文件,病毒修改了以下的系统注册表: HKEY_CURRENT\\USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\HideFileExt HKEY_CURRENT\\USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Hidden HKEY_CURRENT\\USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden 在WINDOWS 2000或者WINDOWS NT系统下,系统的以下注册表被删除: HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\Share\\Security (7)该病毒传播的EMAIL信件表示形式如下,如果收到类似信件请注意: EMAIL的主题是变化的、不确定的; 信件的内容是空的,没有任何内容; 附件的文件是变化的,并且是使用了IE的HTML格式的图标. 该病毒的附件实际上是一个可执行的文件,但是该蠕虫设置成audio/x-wav的文件类型,因此当OUTLOOK在收到该信件后,如果您没有打补丁的话,OUTLOOK会认为该附件是一个类似的声音文件而直接执行了. 解决方案 1 利用KV2004可以直接在Windows下查杀该病毒,方法是先对系统内存进行扫描查杀,再对整个硬盘进行查杀。也可利用KV的新的制做DOS杀毒盘的功能,用KVDOS在DOS对此病毒进行查杀清除。 2 在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。(通常是对Windows 9X系统而言) 3 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。地址是: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.这样可以预防此类病毒的破坏。 4 WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。 5 如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区 6 对WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址下载: http://www.microsoft.com/technet/security/bulletin/ms00-078.asp. 7 病毒被清除后, 在windows的system目录下的文件riched20.dll将被删除,请从WINDOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件,否则的话,写字板和OFFICE, WORD等程序将不能正常运行。 8 及时升级KV系列反病毒软件,开启各项监视程序。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。