精华区 [关闭][返回]
当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>☆病毒资料☆>>W32.Liac.A@mm病毒警告

主题:W32.Liac.A@mm病毒警告
发信人: emil(稻草人)
整理人: emil(2002-07-10 11:03:49), 站内信件
W32.Liac.A@mm

  病毒名称:W32.Liac.A@mm

  别名:  Lilac, W32.Liac@mm, W32/Calil-A, W32/Calil-A, W32/Liac@MM, WORM_LIAC.A

  危险等级:低

  传播速度:快

  传播范围:中

  发现时间:2002/07/08

  长度:  12,208字节

  发作时间:随机

  感染症状:开机就显示一个含有Owned by: xEn0crAtEs信息的错误信息框

  发作症状:大量发送标题是FW:FW: LILAC project video attach的电子邮件

  病毒类型:电子邮件蠕虫

  感染对象:无

  传播途径:电子邮件

  病毒介绍:

  W32.Liac.A@mm是一个用Visual Basic语言编写的电子邮件蠕虫,该蠕虫通过通过大量的发送带毒的电子邮件进行传播。当这个蠕虫被激活的时候,就会试图利用MS Outlook向Windows地址簿(.wab)中的地址发送带毒电子邮件。病毒文件是被压缩过的了,压缩后的病毒文件是12KB左右,压缩前是40KB左右。

  带毒电子邮件格式如下:
邮件标题:FW:FW: LILAC project video attach
附件名:LILAC_WHAT_A_WONDERFULNAME.avi.exe(12,208字节)

  当蠕虫被激活后,就会进行以下操作:

  1、显示一个错误信息框:
标题:Windows
信息:Error54: Media Player not installed correctly
<img src="liac_a.gif" width="231" height="100">

  2、接着将自身拷贝到Windows临时目录下:
\Win98\Temp 
\Win95\Temp 
\Winnt\Temp 
\Winme\Temp 
\Winxp\Temp 
\Windows\Temp

  3、修改注册表启动项,使得Windows每次启动的时候病毒都会被运行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Lilac" = %TempPath%\LILAC_WHAT_A_WONDERFULNAME.AVI.EXE

  注:%TempPath%指的是临时目录。

  4、发送带毒的电子邮件;
  不过由于蠕虫本身的程序缺陷(bug),以上一些步骤可能不会被执行,而在一些情况下病毒会发送一些附件为0字节的电子邮件,或者会发送一些不带附件的电子邮件。

  5、最后,蠕虫会修改以下注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
"RegisteredOwner" = xEnOcrAtEs

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon
"LegalNoticeCaption" = Owned by:
"LegalNoticeText" = Owned by: xEn0crAtEs 

  这样,在每次Windows启动的时候就会显示以下信息框:
标题:Owned by:
信息:Owned by: xEn0crAtEs
<img src="liac_b.gif" width="231" height="100">
  

  蠕虫体里面还包含以下字符串:
OPEY A.
CNNHS B’92 PHILIPPINES (CNSC)

  

  预防方法:

  1、将反病毒软件升级到2002/07/08以后的病毒库,并坚持打开防病毒实时监控程序;

  2、设置邮件程序,拒收标题是FW:FW: LILAC project video attach或附件是LILAC_WHAT_A_WONDERFULNAME.avi.exe的电子邮件;

  3、如果收到该电子邮件,千万不要运行附件中的文件,请尽快将此邮件删除。

  

  一般清除方法:

  1、删除带毒的电子邮件;

  2、将反病毒软件升级到2002/07/08以后的病毒库;

  3、重新启动进入安全模式运行杀毒程序进行杀毒。

  

  紧急清除方法:

  1、删除带毒的电子邮件;

  2、从以下网址下载专门注册表修复文件:

  http://www.speedup.com.cn/tools/fix_liac.reg

  3、重新启动进入安全模式,删除临时目录下的所有文件;

  4、双击fix_liac.reg导入注册表即可。



*资料整理:聊毒斋 Emil 
2002/07/10 第一次整理 
*转载请注明出处,尊重作者的劳动!

   


----
谨代表个人观点,如有异议或疑问,欢迎提出,我们互相学习,共同进步,谢谢!
网易(广州)社区病毒版

聊毒斋
http://cnav.126.com
Email: [email protected]
QQ:201604            
[关闭][返回]