病毒标签:
病毒名称: email-worm.win32.dushit.a
病毒类型: 邮件蠕虫
危害等级: 中
文件长度: 585,728 字节
感染系统: windows 9x 以上系统
开发工具: visual c++ 6.0
病毒描述:
该病毒通过邮件进行传播 , 感染该病毒后会弹出标题为“ syscon.exe ”的对话框 , 病毒复制自身,在 %system32% 下生成 syscon.exe ,同时在 %system32% 下释放 5 个动态连接库文件。修改注册表,添加启动项目。释放文件 "watcher.dll" 到 %sysdir% 目录下,并使用创建远程线程的方式使该动态连接库加入到 "winlogon.exe" 进程中,并修改注册表加载 watcher.dll 。通过挂载动态连接库实现发送邮件。
行为分析:
1 、 感染后弹出对话框“ syscon.exe ”
内容为: "i"m sorry to trouble you, but it"s useless to say sorry. happy april fools" day:"
2 、修改注册表,添加启动项目
hkey_local_machine\software\microsoft\windows\currentversion\run
键值 "syscon"=" %sysdir%\syscon.exe"
3 、在 %system32% 下释放 watcher.dl 文件, winlogon.exe 挂载该文件,
该文件运行后会修改注册表使系统启动后自动加载该文件。注册表项:
hkey_local_machine\software\microsoft\windows
nt\currentversion\windows
键值 "appinit_dlls" ="%sysdir%\watcher.dll"
4 、在 %sysdir% 下释放另一个动态连接库文件,并将动态库挂接在 "explorer.exe"
进程中。
5 、通过挂接动态连接库文件实现邮件发送及病毒生成功能。
邮件标题可能为:
"hello" "funny:)" "hi" "good day:)" "hehe" "game" "smallgame"
邮件内容可能为:
": hehe" ": run it:)" ": it"s a joke" ": little game~~"
附件中为病毒文件,名称可能为:
"funny.exe" "joke.exe" "hello.exe" "love.exe" "interesting.exe"
"cat.exe" "dog.exe" "novel.exe" "new_jdk.exe"
|
