Shunze 學園 >電腦資訊學系 >病毒追追追 > 《轉載》新郵件病毒W32.Brid.A@mm 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
《轉載》新郵件病毒W32.Brid.A@mm引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

W32.Brid.A@mm 是會大量寄出郵件的病蟲, 它是 W32.FunLove.4099 的變種. 當 W32.Brid.A@mm 執行時候, 它會將數個檔案放入附件, 寄回給中毒者. 網蟲有自己的 SMTP 引擎, 會自己連上郵件伺服器, 寄出信件. 信件的內容類似如下 :
Hello,

Product Name: Microsoft Windows 2000
Product Id: xxxxx-OEM-xxxxx-xxxxx

Process List:
NtLmSsp NT LM Security Support Provider
ProtectedStorage Protected Storage
SamSs Security Accounts Manager
SMTPSVC Simple Mail Transport Protocol (SMTP)
SysmonLog Performance Logs and Alerts
NtLmSsp NT LM Security Support Provider
ProtectedStorage Protected Storage
SamSs Security Accounts Manager
SMTPSVC Simple Mail Transport Protocol (SMTP)
SysmonLog Performance Logs and Alerts

Thank you.

[病蟲的影響]

1. 大量寄出郵件給 Microsoft Outlook Express Address Book 中的每個人, 以及在 .htm和.dbx檔案中找到的Email Address.
2. 覆寫 %system% 目錄中的 MSconfig.exe
3. 降低系統效能
4. 造成系統不穩定


[技術細節]

當病蟲執行時, 它會企圖連上 www.hotmail.com, 如果連線失敗, 它會暫停一下, 然後在系統中插入數個檔案, 修改系統登錄, 執行 W32.Funlove.4099 所修改的內容, 寄出信件給 Microsoft Outlook Address Book.


[插入的檔案]

病蟲會在桌面上插入 Help.eml 和 Explorer.exe, 前者是 Microsoft Outlook Express 信件. 如果您在沒有經過修補的系統上開啟 Help.eml, 附件 (病蟲) 會自動執行. 這是由於一個著名的漏洞 Incorrect MIME Header can cause IE to Execute E-mail attachments. (http://www.microsoft.com/technet/treevie...in/MS01-020.asp )

桌面上的 Explorer.exe 是病蟲的備份, 真正的 Explorer.exe 身兼檔案總管和 Windows 管理功能.


W32.Brid.A@mm 也會建立下面檔案 :

%system%\Bride.exe
%system%\Msconfig.exe
%system%\Regedit.exe

對 Windows 95/98/Me 而言, %system% 是 C:\Windows\System; 對 Windows NT/2000 而言, %system% 表示 C:\Winnt\System32; 對 Windows XP 來說, %system 代表 C:\Windows\System32 .

%system%\Bride.exe 包含了病毒 W32.Funlove.4099. 病蟲會執行這個檔案


[登錄檔案被修改]

病蟲會在登錄中下面機碼:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
增加下面值 :
regedit %system%\regedit.exe
以便在每次 Windows 啟動時, 都會執行病蟲.
病蟲也會在機碼

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer
中增加三個機碼.


[病蟲的清除]

1. 更新病毒定義
2. 重新啟動電腦, 進入 "安全模式"
3. 執行完整的系統掃描, 修復所有偵測為 W32.Funlove.4099 的檔案, 刪除所有偵測為 W32.bIRD.a@mm 或 W32.Funlove.int 的檔案.
4. 刪除登錄中機碼

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中的 regedit 值.



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2002-11-11, 22:23 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR