病毒別名
I-Worm.Swen【AVP】,W32.Swen.A@mm【NAV】,W32/Swen@mm【McAfee】
病毒介紹
處理時間:2003-09-19
威脅級別:★★★
中文名稱:賽文
病毒類型:蠕蟲
影響系統:Win9x/ WinNT
病毒行為:
金山毒霸反病毒應急中心於9月19日截獲該蠕蟲,該蠕蟲使用VC編寫,主要採用郵件傳播,並利用點對點工具及聊天的檔案共享功能進傳播。蠕蟲在傳送帶毒郵件時,使用隨機的主題、內容和附名稱,特別是主題,多以退信、微軟公司發布的補丁升級程式的形式傳送。
1.複製病毒體和利用ZIP或RAR壓縮的病毒體到%SystemRoot%中,檔案名稱隨機。同時,在%SystemRoot%中生成兩個檔案Germs0.dbv和Swen1.dat,用來存放病毒搜尋到的Email地址和Mail伺服器列表。
2.病毒會大量修改註冊表:
在註冊表的主鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
中添加如下鍵值:
"<隨機字元>"="<隨機字元> autorun"
以使病毒能在系統重啟後繼續運行。
在註冊表的主鍵:
修改如下鍵值:
HKEY_CLASS_ROOT\file\shell\open\command (其中為exe,com,pif,bat)
修改如下鍵值:
默認="<病毒檔案名稱> "%%1" %%*"
在註冊表的主鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explore下添加項,項名為<隨機字元>。
修改註冊表中HKEY_CLASS_ROOT下相應子鍵鍵值,將.exe/.reg/.scr/.com/.bat/.pif檔案關聯為病毒檔案。
最後,在註冊表的主鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
修改如下鍵值:
"DisableRegistryTools" = "1" (預設為0)
用來禁止用戶使用註冊表編輯器:regedit.exe。
3.大量傳送帶毒電子郵件,多以退信、微軟公司發布的補丁升級程式的名義傳送。同時,病毒郵件利用IE的IFRAME漏洞可以在用戶不打開附屬檔案的情況下就可以自動下載到本地,並且立即執行。另外,蠕蟲還會向它指定的新聞組傳送帶病毒的郵件。
4.通過KazaA點對點工具的檔案共享功能進行傳播,蠕蟲會拷貝複本到該軟體指定的已分享檔案夾中。
5.通過IRC聊天工具的檔案共享功能進行傳播,蠕蟲會拷貝複本到該軟體指定的已分享檔案夾中。
6.通過網路共享進行傳播,蠕蟲會查找網路中的已分享檔案夾,嘗試將複本拷貝到這些系統中的以下資料夾內:
對於Win9x:
\Windows\Start Menu\Programs\Startup
對於Win2000/WinXP
\Documents and Settings\<被感染系統的登錄用戶名>\Start Menu\Programs\Startup
如果登錄用戶名為:administrator,則該資料夾為:
\Documents and Settings\Administrator\Start Menu\Programs\Startup
對於WinNT:
\Winnt\Profiles\<被感染系統的登錄用戶名>\Start Menu\Programs\Startup
如果登錄用戶名為:administrator,則該資料夾為:
\Documents and Settings\Administrator\Start Menu\Programs\Startup
7.如果執行的病毒是以字母q、u、p、i開頭的檔案名稱,病毒將彈出對話框“Microsoft Internet Update Pack”,
無論選擇那個按鈕,病毒都將安裝自己。
8.病毒會周期性的出現一個提示框,假裝是MAPI32 Exception出錯,並要求用戶輸入“用戶名”,“口令”,“POP3”,“SMTP”等信息,試圖盜取用戶信箱帳號密碼。
9.當執行某一程式時可能會出現以下系統提示,表示系統出錯,實則為禁止某些系統程式的正常運行。
10.病毒還會有一個鏈節計數病毒運行的次數。
11.病毒會試圖結束以下進程(都為反病毒程式和網路防火牆的進程):
Azonealarm
zapro
wfindv32
webtrap
vsstat
vshwin32
vsecomr
VScan
vettray
vet98
vet95
vet32
vcontrol
vcleaner
tds2
tca
sweep
sphinx
serv95
safeweb
rescue
regedit
rav
pview
pop3trap
persfw
pcfwallicon
pccwin98
pccmain
pcciomon
pavw
pavsched
pavcl
padmin
outpost
nvc95
nupgrade
nupdate
normist
nmain
nisum
navw
navsched
navnt
navlu32
navapw32
nai_vs_stat
msconfig
mpftray
moolive
luall
lookout
lockdown2000
kpfw32
jedi
iomon98
iface
icsupp
icssuppnt
icmoon
icmon
icloadnt
icload95
ibmavsp
ibmasn
iamserv
iamapp
gibe
f-stopw
frw
fp-win
f-prot95
fprot95
f-prot
fprot
findviru
f-agnt95
espwatch
esafe
efinet32
ecengine
dv95
claw95
cfinet
cfind
cfiaudit
cfiadmin
ccshtdwn
ccapp
bootwarn
BlackICE
blackd
avwupd32
avwin95
avsched32
avp
avnt
avkserv
avgw
avgctrl
avgcc32
ave32
avconsol
autodown
apvxdwin
aplica32
anti-trojan
ackwin32
_avp
