荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]

发信人: gordonlot (希望不用重修), 信区: Virus
标  题: “中国一号”变种新病毒  I-WORM/CHINA-1
发信站: 荔园晨风BBS站 (Tue Jan 15 18:01:28 2002), 转信

    国家计算机病毒应急处理中心成员单位,北京江民新科技术有限公司病毒快速反应
小组捕获了一种“中国一号”变种新病毒。根据病毒体内特有的标记“R.P.
China Version 1.0,将其命名为:I-WORM/CHINA-1#“中国一号”网络蠕虫。特此
说明,病毒体内有此标记,不等于就是中国人编写的病毒,现也有称为Nimda“尼
姆达”病毒的,但病毒体内无此标记。江民公司提醒广大用户,该病毒传染能力极
强,请加强防范,立即升级反病毒软件。

  该病毒特性如下:

  病毒传染WINDOWS 9X/ME、WINDOWS NT、WINDOWS 2000。

  当我们浏览含有I-WORM/CHINA-1#“中国一号”病毒邮件时,病毒利用病毒体
内VBScript代码在本地的可执行性(通过Windows Script Host进行),对当前计
算机进行感染和破坏。即,一旦我们将鼠标箭头移到带有I-WORM/CHINA-1#“中国
一号”病毒体的邮件名上时,就能受到I-WORM/CHINA-1#“中国一号”网络蠕虫的
感染,该病毒传染能力很强。该网络蠕虫利用的是OUTLOOK的漏洞。

  在这以前,反病毒专家先前早已预料过、微软的信件浏览器非常脆弱,漏洞很
严重,也很多,很快就会出现许多针对其弱点而具有高超传染能力的病毒。

  I-WORM/CHINA-1#“中国一号”网络蠕虫的就是针对微软信件浏览器的弱点和
WINDOWS NT/2000、IIS的漏洞而编写出的一种传播能力很强的病毒,这一病毒同等
于“欢乐时光”和“蓝色代码”病毒的合力。

  病毒在WINDOWS\SYSTEM目录内生成病毒文件RICHED20.DLL和LOAD.EXE,或
README.EXE、MMC.EXE等,还在所有硬盘的根目录下生成ADMIN.DLL病毒文件,其字
节数为:57344字节。

  病毒传染.nws、.eml、.doc、.exe等文件,而这些文件大部分被破坏或替换。


  病毒还找出Email地址发送病毒本身,即附件长度为79225字节,但打开看时,
其长度为0。该文件实际上就是EMAIL病毒信件本身。

  病毒还对SYSTEM.INI修改,在[boot]组下的shell=explorer.exe load.exe
-dontrunold,这样在系统每次启动时该病毒就会传染,驻留内存。

  病毒利用IIS5.0的漏洞,上传ADMIN.DLL在C:\、D:\...并修改用户的主页,在
主页后加了一个链接README.EML。感染的电脑均不断生成一个个随机文件名的eml
文件,病毒还在C:\INETPUB\Scripts目录中不断复制为TFTP00X.DAT的文件,其字
节数为:57344字节。

  该病毒利用许多方式来传播自己:首要的途径是通过EMAIL;还可以通过共享的
磁盘分区来感染别的机器;试图将病毒文件本身拷贝到没有安装微软补丁的WEB服
务器上;

  同时还是一个可以感染本地磁盘上的文件以及本地的局域网络上的其他机器上
的文件。

  该蠕虫程序利用的是微软WEB的UNICODE 的遍历漏洞;该微软漏洞补丁程序的
下载地址:

  http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.

  而当一个用户收到感染该病毒的信件时,由于该病毒利用了OUTLOOK的MIME漏
洞,使得当用户即使只是预览该信件时,隐藏在该信笺中的病毒就会自动被执行,
该漏洞补丁程序的下载地址:

  http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.

  当用户浏览含有该病毒的网络时,会提示下载一个含有该病毒的文件,实际上
是一个eml信件文件。

  在受感染的机器上,该病毒还会自动将C盘共享,使得外部的用户可以访问系
统目录,而同时该病毒还可以建立一个guest访问的用户而且该用户的权限是系统
管理员级别的。

  该病毒感染的文件是在系统的注册表键值下的:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App
Paths的常用的EXE文件.

  该病毒覆盖了WINDOWS的SYSTEM目录下的riched20.dll文件,使得该每次系统
执行任何程序该病毒都会被执行。并将自身拷贝成load.exe存放在windows的
system目录下。在该机器共享的 机器上的EXE文件会被感染,而EML文件和NWS文件
会被该病毒本身代替。病毒修改系统注册表使得所有的本地硬盘为共享,相应的键
值为:

  HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$ ->
 Z$]

  当然需要重新启动计算机,来使这些有效。只有C盘的共享不需要重新启动。


  该病毒还可以修改IE的设置,使得系统、隐含属性的文件不显示。

  该病毒在WINDOWS 的TEMP的临时目录下生成许多临时的文件。文件名称类似的
一个是:mepA2C0.TMP.exe或者mepA2C2.TMP等,前者是该病毒执行文件本身,而后
者是病毒的EMAIL形式本身,实际上这两者是同一一个文件:也就是病毒本身。所
有的文件本身都是系统隐含文件属性。

  病毒存在的现象:

  (1)在C、D、E等逻辑盘符的根目录下有文件admin.dll,文件的长度是57344字
节;

  (2)EMAIL文件readme.eml文件的存在,该文件长度是79225字节,实际上是病毒
文件的EMAIL表现形式;

  (3)C盘在没有手动修改的情况下,变成了可以共享的驱动器。

  (4)病毒文件中含有以下字符串:Concept Virus (CV) V.5, Copyright (C)
2001 R.P.China

  (5)该病毒存在的文件名称可能是以下的几种:

  load.exe;mmc.exe;riched20.dll;admin.dll;readme.exe;mep*.tmp.exe,

  这些都是病毒程序本身,必须直接删除。对于系统正常的文件只能使用系统安
装盘或者干净的文件来覆盖,在这里的情况是mmc.exe和riched20.dll;

  (6)为了隐含文件,病毒修改了以下的系统注册表:


HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv
anced\HideFileExt


HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv
anced\Hidden


HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv
anced\ShowSuperHidden


  在WINDOWS 2000或者WINDOWS NT系统下,系统的以下注册表被删除:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Share\
Security

  (7)该病毒传播的EMAIL信件表示形式如下,如果收到类似信件请注意:

  EMAIL的主题是变化的、不确定的;

  信件的内容是空的,没有任何内容;

  附件的文件是变化的,并且是使用了IE的HTML格式的图标.

  该病毒的附件实际上是一个可执行的文件,但是该蠕虫设置成audio/x-wav的文
件类型,因此当OUTLOOK
在收到该信件后,如果您没有打补丁的话,OUTLOOK会认为该附件是一个类似的声
音文件而直接执行了。

  病毒的清除:

  1 使用干净DOS软盘启动机器。

  2 执行KV3000.EXE或KVD3000, 查杀所有硬盘,查到病毒体时会先问你要删除
吗?请按“Y”键删除病毒体。其它被感染的文件,如.EXE文件, KV3000.EXE或
KVD3000会将病毒体从文件中清除,保留原文件, 而有的杀毒软件只会将其删除。


  3 在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的
[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除
病毒后,系统启动会提示有关load.exe的错误信息。

  4 开启KVW3000实时监测病毒防火墙。

  5 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补
丁程序。

  地址是:

  http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.

  这样可以预防此类病毒的破坏。

  6、WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如
/scripts等等。

  7、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区。


  8、对WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址
下载:

  http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.

  9、病毒被清除后, 在windows的system目录下的文件riched20.dll将被删除,
请从WINDOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件,否则的话
,写字板和OFFICE, WORD等程序将不能正常运行。在WINDOWS98系统下的该文件大
小是:431376字节。

  WINDOWS NT/2000系统的NTFS硬盘分区患有此毒时,处理比较烦琐。因用DOS软
盘引导后不认硬盘分区,所以无法杀毒。在患毒的WINDOWS NT/2000系统下又杀不
干净病毒。怎么办?不管是服务器还是单机的硬盘染此毒了,要想杀干净病毒,可
按如下方法杀毒:

  1 找一无毒的并装有WINDOWS NT/2000系统的机器,将KVW3000安装到硬盘中。


  2 将患毒的硬盘挂接在无毒的机器上做为副盘。

  3 用无毒的主盘引导机器后,调用KVW3000或KVD3000查杀副盘中的病毒。

  杀毒方法如上所述。

  该病毒传播能力极强,必须加强防范。



--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.221]

[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店