近日,一种名为“秋天的童话”的新型(蠕虫)病毒开始在国内互联网和部分专用网络上传播。
该病毒利用电子邮件方式,通过网络快速传播。受到感染的计算机(或网络)中出现以下异常现象:注册表和系统文件被修改,病毒发作时,操作系统窗口标题会被修改为“中华人民共和国万岁!”目前,国内部分计算机病毒防治厂商已能提供网上杀毒软件的升级程序,可以查杀该病毒。
该病毒的详细资料如下:
(1) 类别:网络蠕虫
(2) 病毒长度:18994字节
(3) 感染系统:WINDOWS 9X、ME、2000、XP、NT等流行操作系统
(4) 特征:修改系统注册表;修改文件关联;发送网络蠕虫到WINDOWS的OUTLOOK地址薄的前50个人;可能格式化系统。
(5) 病毒欺骗特征:
a)文件特征看起来更象是PIC图象文件,其实是一个可执行文件。该病毒文件还对该文件的属性等进行了伪装:病毒文件版本看起来是:5.2615.0200;说明文字是来自:Outlook Express,版权信息看起来更象是来自微软:Copyright © Microsoft Corp. 1995-1999.;
b)该网络蠕虫为了隐蔽自己,修改了WINDOWS 运行RUN项目的默认值,而不是象普通的网络蠕虫那样直接增加在系统注册表的启动项目组里。
c)网络蠕虫会将自身会命名为中文文件名称:(未设置键值).EXE, 和 空格.exe然后修改系统注册表中启动项,这样也能达到系统启动每次启动,该网络蠕虫都自动运行的过程。
(6) 病毒被运行后,首先将自身复制到:
C:\WINDOWS\SYSTEM\?.EXE
C:\WINDOWS\SYSTEM\(未设置键值).EXE
C:\WINDOWS\TEMPORARY INTERNET FILES\ISLOVE?.JPG.EXE
(注:?是0xff的字符,看起来象一个空格,并不是问号,下同)
病毒修改注册表的默认启动项键值,看起来象是什么都没有修改,很具有欺骗性:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
@="(未设置键值)"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
@="?"
修改.ini文件关联:
[HKEY_CLASSES_ROOT\inifile\shell\open\command]
@="C:\\WINDOWS\\TemporaryInternetFiles\\Myphoto?.jpg.exe %1"
修改C:\Windows\SAMPLES\WSH\Network.vbs文件为病毒的发信模块。如果发信模块启动,将向OutLook地址本中的前50个人发送带毒邮件,邮件的主题是:“秋天的童话”,邮件的内容是:“曾经有一份真诚的爱情摆在我面前,可是我没有去珍惜......”,附件是蠕虫本身,文件名可能是“Islove?.jpg.exe”、“Helpme?.jpg.exe”、“Myphoto?.jpg.exe”。
设置完成后,生成C:\WINDOWS\WINOUT.BAT删除自身。
此蠕虫病毒具有强烈的反日反美倾向。比如,如果检查国家代码是美国,发作的时候就会生成WinStart.bat,内容是:
@ECHO Because you don’t love your motherland. So we are formating Your Hard-Disk......
@ECHO C:\>Format C:\ /y
@ECHO ................
:USA
GOTO :USA
然后重写autoexec.bat,内容是:
@ECHO Warning! illegal access error!
@ECHO a fatal BIOS error,be incapable of data to load......
:USA
GOTO :USA
让电脑不能够正常启动。
病毒发作的时候,会修改Window Title为“中华人民共和国万岁!”,RegisteredOwner为“秋天的童话”。然后,搜索逻辑盘,用指定的内容覆盖所有的asp、shtml、htm、html文件。
该网络蠕虫中还有Japan must for 1931-9-18 pay out price!等英文字样,带有反日文字。
通过技术分析,此蠕虫病毒的部分功能不正确或被屏蔽,比如格式化硬盘等。
