病毒介紹
病毒名稱:蠕蟲病毒Win32.Subaso Family
其它名稱:
病毒屬性:蠕蟲病毒危害性:中等危害流行程度:中
具體介紹:
病毒特性
Win32/Subaso是一族通過即時訊息傳播的蠕蟲。
感染方式
運行時,Win32/Subaso 在%Windows% 和 %System%目錄中生成4個副本。不同的變體使用不同的檔案名稱,以下是一些變體使用的檔案名稱:
Antivirus32.exe
Avconsol.exe
Hide32.exe
ZaZ.exe
Zap.exe
Ttt.exe
Diup.exe
隨後蠕蟲修改以下註冊表,為了在每次系統啟動時運行病毒:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AVantivirus = "<worm executable>"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\WinService = "<worm executable>"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Servicewin = "<worm executable>"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\System = "<worm executable>"
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
傳播方式
通過即時訊息傳播
為了能夠傳播,Win32/Subaso首先嘗試從不同的站點下載幾個檔案。這些檔案包括為蠕蟲傳送信息配置的信息,例如信息內容和下載蠕蟲副本的連結。以下是各個變體下載的檔案名稱:
1.txt
2.txt
3.txt
4.txt
5.txt
jif.txt
當這些檔案被下載時,可能使用以下檔案名稱保存到本地機器:
SysUpdate.txt
MSysUpdate.txt
USysUpdate.txt
ConSysUpdate.txt
Update.txt
WinUp.txt
SysArc.exe
以下是蠕蟲傳送即時訊息的一個例子:
mira esta animacion de bush :P
其中還包含一個連結,連結到一個蠕蟲副本:
http://<;host >/Bush-gracioso.exe
危害
下載其它惡意程式
Subaso下載很多檔案到被感染機器上。一些檔案包含信息內容,蠕蟲將用來傳送蠕蟲副本的下載連結,蠕蟲還可能下載Win32/AdClicker變體。
清除:
KILL安全胄甲最新版本可檢測/清除此病毒。
