作者: king 时间: 2001-9-26 10:57 标题: 病毒 白宫病毒(VBS.WhiteHouse)
VBS.WhiteHouse 是一个采用 Visual Basic Script 语言编写的蠕虫病毒。它通过给 Microsoft Outlook 地址簿中的联系人分发 E-mail 来复制自己,此外,该病毒还会给某些特定的地址发送包含自身代码的邮件。
VBS.WhiteHouse 病毒感染计算机系统后,会在 Windows 操作系统的安装目录下生成 Profile.vbs,在系统目录下生成 Mdm.vbs、user.dll、Readme.html、system.dll 等文件,用于存储病毒代码。然后查找计算机所有本地硬盘和网络驱动器中的所有 html/htm、plg 和 asp 文件,将病毒代码加密成乱码后附在其头部,查找所有 vbs 文件,将其内容替换成病毒代码。
在留驻系统后,病毒便开始利用 Outlook 外发邮件,邮件的特征如下:
主题:从以下十个标题中随机抽取一个:
"Thanks for helping me!"
"The police are investigating the robbery"
"an application for a job"
"The aspects of an application process pertinent to OSI"
"What a pleasant weather. Why not go out for a walk?"
"These countries have gone / been through too many wars"
"We've fixed on the 17th of April for the wedding"
"The wind failed and the sea returned to calmness."
"the sitting is open!"
""
正文:(同主题)
附件:Readme.html
同时,病毒还会将这些邮件发往以下四个指定的地址:
"president@whitehouse.gov"
"vice.president@whitehouse.gov"
"first.lady@whitehouse.gov"
"mrs.cheney@whitehouse.gov"
在用户的计算机设置中,如果用户名、计算机名或者域名中包含以下字符,病毒就会删除本地硬盘中所有的文件和文件夹,并且在自动批处理文件 Autoexec.bat 中增加 DELTREE c:\ 语句,在下次启动计算机时删除 c:\ 盘全部内容:
"white home"
"central intelligence agency"
"bush"
"american stock exchang"
"chief executive"
"usa"
如果不包含以上字符,当 7 月或 9 月时,病毒会在系统目录下生成一个名为 75.htm 文件,将它增加到 Windows 的启动项里。该文件包含 window.navigate ('c:/con/con') 的脚本,该语句会使低版本的 Internet Explorer 产生错误。
在病毒解码后的代码中包含一句注释行:'@ thank you! make use of other person to get rid of an enemy, white trap _2001;在病毒原码中则可以看到一段 JavaScript 代码,并有两个包含一大段乱码的变量 jword 和 nword。
作者: king 时间: 2001-9-26 10:58 标题: 病毒 Worm.Sircam.137216(CAM先生)(金山毒霸命名)
1
病毒名称:Worm.Sircam.137216(CAM先生)(金山毒霸命名)
病毒类型:蠕虫病毒
病毒简介:
病毒感染过程介绍
Worm.Sircam.137216病毒是一个蠕虫病毒,如果不小心运行,它会拷贝自己的有效代码到
windows的system目录,名为Scam32.exe,并修改注册表HKLM\Software\Microsoft
\Windows\CurrentVersion\Run Services\Driver32指向该文件。以便下次启动时启动。
同时,它还会拷贝自己到Recycled目录,并修改注册表的exe文件关联(HKLM\SOFTWARE
\Classes\exefile\shell\open\command)指向改文件。
病毒发送附件时会选择一个正常文件做伪装,将自身代码放在前面,正常文件附加在后面。
在发送出去。当收信人打开附件,病毒文件会将自身文件和正常文件分开放到Recycled目
录,运行自身并打开正常文件。极具隐蔽性。病毒还会通过网络共享将自己拷贝到共享了
windows目录的其它机器中(windows目录)文件名为rundll32.exe,原来的
rundll32.exe改名run32.exe。 作者: king 时间: 2001-9-26 11:00 标题: 病毒 VBS.HappyTime病毒
1
病毒名称:VBS.HappyTime
病毒类型:VB SCRIPT病毒
病毒简介:
病毒感染过程介绍
VBS.Happytime 是一个感染 VBS、html 和脚本文件的脚本类病毒。该病毒采用 VBScript 语言编写,它既可在电子邮件的形式通过互联网进行传播,也可以在本地通过文件进行感染。
当用浏览器打开一个被感染的 html 文件时,病毒会设置网页的时间中断事件,每 10 秒运行执行 Help.vbs 一次,该文件存放在 C:\ 盘下第一个子目录下。如果通过 hta 文件激活病毒,病毒还会在 C:\ 盘下第一个子目录下生成 Help.hta 文件并执行。
若执行感染病毒的 VBS 文件,如果日期和月份数字之和是 13,则病毒会删除从 C: 盘找到的第一个 exe 或 dll 文件;如果是其他时间,则从 C: 盘找到第一个 html、vbs、htm 或 asp 文件,从文件内容中找到 mailto 语句,分解出若干收件人邮件地址,发送带有病毒附件(附件名 Untitled.htm)的邮件,然后置换文件内容为病毒代码。当病毒被执行的次数为 366 的整数倍时,如果当前时间的秒数值正好是偶数,则取得 Outlook Express 收件箱(不包括子目录)中所有信件的发件人地址和主题,然后以转发原信件为主题,给这些地址发送信件,附件为 Untitled.htm 病毒文件;如果秒数为奇数,则读取 Outlook 地址簿中所有联系人的 E-mail 地址,分别发送主题为 Help、附件为 Untitled.htm 病毒文档的邮件。此外,病毒还会修改桌面墙纸的设置,若无墙纸则会设置成 Help.htm,若有墙纸则修改为与原墙纸文件名相同,扩展名为 htm 的文件,而这些文件中带有病毒代码。
如果是通过脚本或其他方式运行病毒,则会在 C:\ 盘下第一个子目录下创建病毒文件 Help.vbs,在 %Windows% 目录下创建病毒文件 Untitled.htm 文件。修改注册表 HKEY_CURRENT_USER\Identities\XXXXXXXX\Software\Microsoft\Outlook Express\5.0\Mail(其中 XXXXXXXX 为缺省用户ID值)项下的三个键值。并查找 Windows\Web 目录下所有 htm、htt、vbs 和 asp 文件,从中找到 mailto 语句,分解出若干收件人邮件地址,发送带有病毒附件(附件名 Untitled.htm)的邮件,然后置换文件内容为病毒代码。 病毒脚本代码的第一行为 Rem I am sorry! happy time,可以此来判断一个文件是否已被感染。
病毒生成、修改和删除的文件
1、生成 C:\Help.htm,html 格式的病毒文件(嵌入 html 文件);
2、在 C:\ 盘第一个子目录下生成 VBS 格式的病毒文件 Help.vbs 和 hta 格式的 Help.hta;
3、在 %Windows% 目录下生成 html 格式的病毒文件 Help.htm 或者与原墙纸文件同名的 html 格式文件(墙纸);
4、每感染一次修改 C: 盘上一个 vbs、html 或者 asp 文件,将其改为病毒代码;
5、修改 %Windows%\Web 目录下所有 vbs、html、htt 和 asp 文件;
6、每次月份加日期的数字之和为 13 时运行病毒会删除 C: 盘上一个 exe 或 dll 文件。
注册表的修改
1、在 HKEY_CURRENT_USER\Software 下新建 Help 项,然后新建 Count 键值用于记录病毒感染的次数;新建 FileName 键值用于指向下一次将要被删除的文件;新建 wallPaper 键值用于记录修改后的墙纸文件;
2、修改 HKEY_CURRENT_USER\Identities\XXXXXXXX\Software\Microsoft\Outlook Express\5.0\Mail(其 中 XXXXXXXX 为缺省用户ID值) 下键值 Message Send HTML 为 1;Compose Use Stationery 为 1;Stationery Name 为 %Windows%\Untitled.htm。
病毒的危害
1、破坏 html、htm、htt、vbs 和 asp 文件的内容(被修改成病毒代码);
2、大量散发病毒邮件,本地的联系人地址越多,收件箱中信件越多,散发邮件数量也越多;
3、逐次删除 C: 上可执行文件;
4、修改桌面墙纸的设置;
5、破坏 Windows 资源管理器中缺省的 Web 视图;
手工病毒清除
1、检查 C:\Help.htm、C:\ 盘第一个子目录下的 Help.vbs 和 Help.hta、%Windows% 目录下 Help.htm 或者与原墙纸文件 同名的 html 格式文件,若其中含有 Rem I am sorry! happy time 字符串,则删除该文件;
2、检查 C: 盘上所有 vbs、html 或者 asp 文件,若含有 Rem I am sorry! happy time 字符串,则删除该文件;
3、检查 %Windows%\Web 目录下所有 vbs、html、htt 和 asp 文件,若含有 Rem I am sorry! happy time 字符串,则删除该文件;
4、删除 HKEY_CURRENT_USER\Software 下 Help 项;
5、删除收件箱中所有带有 Untitled.htm 附件的不明邮件。