Email-Worm.Win32.Warezov.bw

簡介

病毒名稱：Email-Worm.Win32.Warezov.bw
病毒中文名：
病毒類型：蠕蟲 EmailWorm
危險級別：
影響平台：Win9X/ME/NT/2000/XP/2003
檔案大小：150557位元組

詳細技術:該蠕蟲使用被感染的郵件附屬檔案通過網際網路傳播。它通過讀取被感染主機的電子郵件地址來傳送自身。
該蠕蟲自身是一個WindowsPEEXE檔案，大小150557位元組，使用UPack加密，未加密的檔案近似540KB大小。

中毒後症狀

一旦運行，將顯示以下訊息：

Email-Worm.Win32.Warezov.bw

當安裝時，該蠕蟲複製自身到Windows根目錄，並且保存為“serv.exe”。

%Windir%\serv.exe

它同樣創建一個檔案列表到以下Windows啟動目錄中：

%System%\cssewmpd(16384位元組)
%System%\e1.dll(8192位元組)
%System%\regaufat.dll(24576位元組)
%System%\wupstlnt.dll(28672位元組)
%Windir%\serv.dll(7680位元組)
%Windir%\serv.s
%Windir%\serv.wax

該蠕蟲同樣創建以下註冊表鍵值，來確保該蠕蟲文件隨每次Windows系統啟動：

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"serv"="%Windir%\serv.exes"

[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
"AppInit_DLLs"="wupstlnt.dlle1.dll"

傳播

該蠕蟲通過讀取被感染主機的MSWindows地址簿中的電子郵件地址傳送自身。它使用它自己的SMTP引擎來傳送染毒電子郵件。

感染的郵件

例如：

中毒症狀

郵件主題(從以下列表中選擇):

Error

GoodDay

hello

MailDeliverySystem

Mailserverreport

MailTransactionFailed

picture

ServerReport

Status

郵件正文(從以下列表中選擇):

Mailtransactionfailed.Partialmessageisavailable.

Themessagecannotberepresentedin7-bitASCIIencodingandhasbeensentasabinaryattachment.

ThemessagecontainsUnicodecharactersandhasbeensentasabinaryattachment.

Mailserverreport.

Ourfirewalldeterminedthee-mailscontainingwormcopiesarebeingsentfromyourcomputer.

Nowadaysithappensfrommanycomputers,becausethisisanewvirustype(NetworkWorms).

UsingthenewbugintheWindows,thesevirusesinfectthecomputerunnoticeably.
Afterthepenetratingintothecomputerthevirusharvestsallthee-mailaddresses
andsendsthecopiesofitselftothesee-mailaddresses

Pleaseinstallupdatesforwormeliminationandyourcomputerrestoring.

Bestregards,
Customerssupportservice

行為分析

該蠕蟲將終止某些反病毒軟體和防火牆。

它同樣包含URLs地址列表，它將會檢測已經存在的檔案。如果一個檔案位於這些URLs地址列表中，該蠕蟲將下載它到被感染主機中並且運行它。

病毒清除和預防

1 重啟電腦並且進入安全模式（方法：重啟後按鍵盤上的F8鍵，並在Windows啟動選單中選擇“安全模式”）

2 使用任務管理器查找以下進程：

serv.ex

如果找到這個進程，終止它。

3 從Windows根目錄中和系統目錄中手動刪除以下檔案：

%System%\e1.dll

%System%\regaufat.dll

%System%\wupstlnt.dll

%System%\cssewmpd

%Windir%\serv.dll

%Windir%\serv.s

%Windir%\serv.wax

%Windir%\serv.exe

4 刪除以下註冊表鍵值：

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"serv"="%Windir%\serv.exes"

[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
"AppInit_DLLs"="wupstlnt.dlle1.dll"

5 重啟計算機，並且檢測您是否已經從郵件箱中刪除了所有染毒的電子郵件。

6更新反病毒資料庫並且執行一次全盤掃描