TA的每日心情 | 无聊
2014-7-17 12:08 |
|---|
签到天数: 1 天 [LV.1]初来乍到
|
一、病毒评估
1. 病毒中文名:麻布图
2. 病毒英文名:Worm.Mabutu
3. 病毒大小:32768字节
4. 病毒类型:蠕虫病毒
5. 病毒危险等级:★★★☆
6. 病毒传播途径:邮件/P2P软件
7. 病毒依赖系统:Windows 9X/NT/2000/XP
发现日期:2004年7月29日
“麻布图”蠕虫病毒采用了多种方式收集电子邮件地址,然后向收集到的电子邮件地址大量发送病毒邮件,严重时可造成网络堵塞。它利用了一种比较新颖的方式收集电子邮件,它可以收集到被感染用户的MSN Messenger好友的邮件地址,
二、病毒的破坏
1. 用多种方式收集电子邮件地址,向其疯狂发送病毒邮件,严重消耗系统资源。
2. 当前系统时间为7月时,连接特定IRC频道,通知病毒散布者此系统已被感染。
三、技术分析
1. 蠕虫病毒,运行后,将自己复制到%WINDOWS%目录下,文件名随机产生。
2. 在注册表启动项“\CurrentVersion\Run”下加入病毒文件的启动键值:“winupdt”= RUNDLL32.EXE %病毒文件名%,_mainRD,实现开机自启动。
3. 通过注册表或系统system.ini里读取当前系统使用的屏幕保护程序的名字,将病毒复本以屏幕保护程序的名字复制到Kazaa软件的共享目录下,引诱别人下载,以达到传播自己的目的。
4. 当系统时间为7月时,病毒将尝试连接预定的mirc服务器特定频道,通知病毒作者该系统已被感染病毒。
5. 搜索MSN Messenger进程窗口,模拟用户的一些操作消息,从而获取MSN Messenge的联系人名单,收集电子邮件地址。
6. 搜索磁盘.TXT,.HTML,.HTM,.WAB文件,并尝试从中提取电子邮件地址。
7. 从注册表中提取系统当前使用的wab文件,并从中提供电子邮件地址。在提取电子邮件地址的过程中,病毒会自动过滤一些特定字符的地址,如sopho,panda,syman,virus,avp,kaspers等,以免被反病毒公司抓获。
8. 使用自己的电子邮件发送引擎,利用从注册表中获取的smtp服务器地址,对搜索到的电子邮件地址发送带毒邮件。
9. 病毒邮件的题目是:britney, Hello, I'm in love, I'm nude, Important, jenifer, Wet girls,病毒附件名为:creme_de_gruyere,details,document,Fetishes,gutted,message,Ok cunt,photo,病毒附件为exe、zip、scr格式。
|
|
|
|
|
|
|
|
|
|
发表于 2004-8-6 11:34:55
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
转播
淘帖
支持
反对
变色卡
楼主
