发信人: emil()
整理人: emil(2001-04-22 22:39:21), 站内信件
|
I-Worm.Magistr
病毒名称:I-Worm.Magistr
别名: Magistr, PE_MAGISTR.A, W32.Magistr.24876@mm, W32.Magistr@mm, W32/Magistr@mm, W32/Disemboweler, W32/Magistr-a, MAGISTR.A, W32.Magistr, TROJ_ARF_JUDGE.A, JUDGE.A, ARF_JUDGE
危险等级:高
发作时间:在感染病毒一个月后
长度: 24kb~30kb左右
感染症状:当鼠标移到桌面上的图标的时候,图标会移开一边,就好像图标在和鼠标玩捉迷藏
发作症状:文件内容被改写,并擦写BIOS和清除硬盘上的数据
病毒类型:蠕虫病毒
操作平台:Windows 32位操作系统
感染对象:PE格式的.EXE和.SCR文件
病毒介绍:
这是一个非常危险的内存驻留型蠕虫病毒(既有蠕虫体也有病毒体),通过电子邮件进行传播,而且还能在局域网中传播,感染PE格式的.EXE和.SCR文件。该病毒有个和CIH、Kriz等病毒非常类似的破坏作用:删除硬盘上的数据,擦写BIOS!该病毒现已在全世界范围内被发现!
该病毒体还含有一段“版权”信息:
ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler.
by: The Judges Disemboweler. written in Malmo (Sweden)
该病毒用的是汇编语言进行编写,原体长度为24kb~30kb左右,体积虽小但却具有非常强大的功能:
1、感染32位PE格式的执行文件,具有和CIH、Kriz等病毒一样的破坏作用,如删除硬盘上的数据,擦写BIOS!
2、通过电子邮件和局域网进行传播;而且通过电子邮件传播不再局限于Outlook,还利用了包括Netscape Messenger和其他电子邮件软件、新闻组在内的软件!
3、多变形引擎(两种),防反编译,具有欺骗性,自身加密,从而使得发现和清除该病毒变得非常困难!
现该病毒已经有很多变种。
当执行了染毒文件(如执行了邮件附件中的染毒文件),病毒就会将自身驻留在内存中,并在后台运行,静止3至5分钟,然驻留内存后并具有写EXPLORER.EXE的权限(做一个EXPLORER.EXE映象,改写并在内存中激活该文件),在EXPLORER.EXE接着,病毒在Windows目录中任意选取一个.exe文件,一般是第一个文件,使之感染,并将文件名的最后一个字母改名,如:将HWINFO.EXE改成HWINFN.EXE,将SNDVOL32.EXE改成SNDVOL31.EXE,随后修改注册表中HKLM\Software\Microsoft\Windows\CurrentVersion\Run(键值和键值名视被修改的文件名而定)和Win.ini中"run="一项(启动程序名视被修改的文件名而定),所以Windows每次启动的时候都会激活病毒。激活病毒后,病毒就会在WINNT, WINDOWS, WIN95和WIN98目录中查找PE格式的.EXE和.SCR文件,并感染他们。
接着,病毒就会搜索局域网上的共享驱动器,如果可写便查找WINNT, WINDOWS, WIN95和WIN98目录,并感染这些目录中的文件,同时会像在本地机上修改注册表和Win.ini中的"run=",
另外,病毒还会建立一个根据计算机名命名的.DAT文件,该文件的属性是隐含属性,命名的法则如下:
a -> y
b -> x
c -> w
d -> v
e -> u
f -> t
g -> s
h -> r
i -> q
j -> p
k -> o
l -> n
m -> m
n -> l
o -> k
p -> j
q -> i
r -> h
s -> g
t -> f
u -> e
v -> d
w -> c
x -> b
y -> a
z -> z
例如计算机名是"Emil",那么保存的.DAT文件名就是UMQN.DAT,该文件可能存在于\Windows、\Program Files、C盘根目录和安装系统盘根目录中。
该病毒感染文件使用了非常复杂的感染机制,病毒加密了自身代码,并使用了多变形引擎,改写被感染文件的尾部,从而使得发现和清除病毒变得非常困难。
该病毒可以通过电子邮件传播,但不像以往的病毒那样单纯的通过Outlook发送电子邮件,还利用了Netscape Messenger和其他电子邮件软件、新闻组等读取其中地址簿中的地址发送电子邮件进行传播。值得注意的是电子邮件的标题和正文都不是固定的,而是病毒在本地机上随机查找.DOC和.TXT文件中的一段文字作为邮件的标题和正文(也可能没有正文),而附件也是不固定的,随机在本地机上找一个.EXE或.SCR文件和一些.DOC或.TXT文件作为附件(这可能会造成机密文件的泄漏),同时病毒会记录十个已经发送过有毒电子邮件的地址,不再向这些地址发送有毒的电子邮件。
感染了该病毒会出现一个有趣的现象,当鼠标移到桌面上的图标的时候,图标会移开一边,就好像图标在和鼠标玩捉迷藏。当感染该病毒一个月后,病毒会改写本地机和局域网中电脑上的文件,文件内容全部改写成"YOUARESHIT",这将导致文件不能恢复!如果在Win9x环境下,病毒就是擦写BIOS和清除硬盘上的数据,并显示以下信息:
Another haughty bloodsucker.......
YOU THINK YOU ARE GOD ,
BUT YOU ARE ONLY A CHUNK OF SHIT
备注:当你收到一个标题是一段莫名其妙的句子,并带有一个110k~120k左右的附件的电子邮件,千万不要打开,立刻删除它!现在国内的反病毒软件如安全之星等已经可以防杀该病毒了,敬请各位及时升级!
下载专门清除病毒程序地址: ftp://ftp.avx.com/tools/magistr/antimagistr.exe
----
欢迎光临聊毒斋!!!
http://cnav.cn99.com or http://cnav.6to23.com
Email: [email protected]
Oicq:201604 |
|