基本介紹
- 中文名:Worm.Shoho.b
- 外文名:Worm.Shoho.b
- 處理時間:2001-12-20
- 影響系統:Win9x / WinNT
- 威脅級別:★★
基本信息,病毒特徵,
基本信息
病毒別名:I-Worm.Welyah[AVP], W32.Shoho@mm[NAV], W32/Shoho.b@MM, W32/Welyah.B@mm
病毒類型:蠕蟲
病毒特徵
1.病毒附屬檔案被執行後,它會將WINL0G0N.EXE(注意:0是零,並非字母O)檔案拷貝至%SystemRoot%及%System%目錄下。同時可能在本地系統進行添加或刪除檔案。
可能刪除的檔案(Win9x系統)如下:
email.txt
emailinfo.txt
c:\WINDOWS\DRWATSON
c:\WINDOWS\DRWATSON\FRAME.HTM
c:\WINDOWS\email.txt
c:\WINDOWS\SYSTEM\WINL0G0N.EXE
c:\WINDOWS\WINL0G0N.EXE
可能刪除的檔案(Win9x系統)如下:
c:\WINDOWS\1STBOOT.BMP
c:\WINDOWS\ASD.EXE
c:\WINDOWS\CLEANMGR.EXE
c:\WINDOWS\CLSPACK.EXE
c:\WINDOWS\CONTROL.EXE
c:\WINDOWS\CVTAPLOG.EXE
c:\WINDOWS\DEFRAG.EXE
c:\WINDOWS\DOSREP.EXE
c:\WINDOWS\DRWATSON.EXE
c:\WINDOWS\DRWATSON
c:\WINDOWS\DRWATSON\FRAME.HTM
c:\WINDOWS\EMM386.EXE
c:\WINDOWS\HIMEM.SYS
c:\WINDOWS\HWINFO.EXE
c:\WINDOWS\JAUTOEXP.DAT
c:\WINDOWS\Kacheln.bmp
c:\WINDOWS\Kreise.bmp
c:\WINDOWS\LICENSE.TXT
c:\WINDOWS\LOGOS.SYS
c:\WINDOWS\LOGOW.SYS
c:\WINDOWS\MORICONS.DLL
c:\WINDOWS\NDDEAPI.DLL
c:\WINDOWS\NDDENB.DLL
c:\WINDOWS\NETDET.INI
c:\WINDOWS\RAMDRIVE.SYS
c:\WINDOWS\RUNHELP.CAB
c:\WINDOWS\SCRIPT.DOC
c:\WINDOWS\Setup.bmp
c:\WINDOWS\SMARTDRV.EXE
c:\WINDOWS\Streifen.bmp
c:\WINDOWS\SUBACK.BIN
c:\WINDOWS\SUPPORT.TXT
c:\WINDOWS\TELEPHON.INI
c:\WINDOWS\W98SETUP.BIN
c:\WINDOWS\Wellen.bmp
c:\WINDOWS\WIN.COM
c:\WINDOWS\WIN.INI
c:\WINDOWS\WINSOCK.DLL
其中添加的emailinfo.txt檔案當中包含有準備發往SMTP伺服器的郵件,而email.txt是一個MIME檔案,它包含編碼為WINL0G0N.EXE的Base64及iframe 漏洞。
2.此蠕蟲有它自己的SMTP引擎,能夠建立SMTP連線。它還會查找硬碟中所有包含郵件地址的檔案(如*.eml,*.wab等),一旦找到便會保存在emailinfo.txt檔案當中。然後向保存在該檔案中的所有地址傳送帶毒郵件:
主題為“Welcome to Yahoo! Mail”的郵件。
主題: Welcome to Yahoo! Mail
附屬檔案: Readme.txt<隨機數量的空格>.pif
3.病毒會在註冊表中以下子鍵中:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
添加如下鍵值以便使自己能夠在系統重啟後運行:
"WINL0G0N"="c:\windows\WINL0G0N.EXE"
4.當系統重新啟動時,WINL0G0N.EXE檔案自動執行,並可能導致常規性保護錯誤,而同時由於一些檔案被刪,系統可能無法正確啟動Windows,這種情況在Win9x上會出現,而在WinNT系統上還未遇到。但在任何系統上,例行的收發郵件可能會不正常。
