精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>☆病毒资料☆>>I-Worm.Magistr病毒资料

主题:I-Worm.Magistr病毒资料
发信人: emil()
整理人: emil(2001-04-22 22:39:21), 站内信件
I-Worm.Magistr
 
  病毒名称:I-Worm.Magistr
  别名:  Magistr, PE_MAGISTR.A, W32.Magistr.24876@mm, W32.Magistr@mm, W32/Magistr@mm, W32/Disemboweler, W32/Magistr-a, MAGISTR.A, W32.Magistr, TROJ_ARF_JUDGE.A, JUDGE.A, ARF_JUDGE

  危险等级:高

  发作时间:在感染病毒一个月后

  长度:  24kb~30kb左右

  感染症状:当鼠标移到桌面上的图标的时候,图标会移开一边,就好像图标在和鼠标玩捉迷藏

  发作症状:文件内容被改写,并擦写BIOS和清除硬盘上的数据

  病毒类型:蠕虫病毒  

  操作平台:Windows 32位操作系统

  感染对象:PE格式的.EXE和.SCR文件

  病毒介绍:

  这是一个非常危险的内存驻留型蠕虫病毒(既有蠕虫体也有病毒体),通过电子邮件进行传播,而且还能在局域网中传播,感染PE格式的.EXE和.SCR文件。该病毒有个和CIH、Kriz等病毒非常类似的破坏作用:删除硬盘上的数据,擦写BIOS!该病毒现已在全世界范围内被发现!

  该病毒体还含有一段“版权”信息:

  ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler. 

  by: The Judges Disemboweler. written in Malmo (Sweden)

  该病毒用的是汇编语言进行编写,原体长度为24kb~30kb左右,体积虽小但却具有非常强大的功能:

  1、感染32位PE格式的执行文件,具有和CIH、Kriz等病毒一样的破坏作用,如删除硬盘上的数据,擦写BIOS!

  2、通过电子邮件和局域网进行传播;而且通过电子邮件传播不再局限于Outlook,还利用了包括Netscape Messenger和其他电子邮件软件、新闻组在内的软件!

  3、多变形引擎(两种),防反编译,具有欺骗性,自身加密,从而使得发现和清除该病毒变得非常困难!

  现该病毒已经有很多变种。

  当执行了染毒文件(如执行了邮件附件中的染毒文件),病毒就会将自身驻留在内存中,并在后台运行,静止3至5分钟,然驻留内存后并具有写EXPLORER.EXE的权限(做一个EXPLORER.EXE映象,改写并在内存中激活该文件),在EXPLORER.EXE接着,病毒在Windows目录中任意选取一个.exe文件,一般是第一个文件,使之感染,并将文件名的最后一个字母改名,如:将HWINFO.EXE改成HWINFN.EXE,将SNDVOL32.EXE改成SNDVOL31.EXE,随后修改注册表中HKLM\Software\Microsoft\Windows\CurrentVersion\Run(键值和键值名视被修改的文件名而定)和Win.ini中"run="一项(启动程序名视被修改的文件名而定),所以Windows每次启动的时候都会激活病毒。激活病毒后,病毒就会在WINNT, WINDOWS, WIN95和WIN98目录中查找PE格式的.EXE和.SCR文件,并感染他们。

  接着,病毒就会搜索局域网上的共享驱动器,如果可写便查找WINNT, WINDOWS, WIN95和WIN98目录,并感染这些目录中的文件,同时会像在本地机上修改注册表和Win.ini中的"run=",

  另外,病毒还会建立一个根据计算机名命名的.DAT文件,该文件的属性是隐含属性,命名的法则如下:

  a       ->      y

  b       ->      x

  c       ->      w

  d       ->      v

  e       ->      u

  f       ->      t

  g       ->      s

  h       ->      r

  i       ->      q

  j       ->      p

  k       ->      o

  l       ->      n

  m       ->      m

  n       ->      l

  o       ->      k

  p       ->      j

  q       ->      i

  r       ->      h

  s       ->      g

  t       ->      f

  u       ->      e

  v       ->      d

  w       ->      c

  x       ->      b

  y       ->      a

  z       ->      z

  例如计算机名是"Emil",那么保存的.DAT文件名就是UMQN.DAT,该文件可能存在于\Windows、\Program Files、C盘根目录和安装系统盘根目录中。

  该病毒感染文件使用了非常复杂的感染机制,病毒加密了自身代码,并使用了多变形引擎,改写被感染文件的尾部,从而使得发现和清除病毒变得非常困难。

  该病毒可以通过电子邮件传播,但不像以往的病毒那样单纯的通过Outlook发送电子邮件,还利用了Netscape Messenger和其他电子邮件软件、新闻组等读取其中地址簿中的地址发送电子邮件进行传播。值得注意的是电子邮件的标题和正文都不是固定的,而是病毒在本地机上随机查找.DOC和.TXT文件中的一段文字作为邮件的标题和正文(也可能没有正文),而附件也是不固定的,随机在本地机上找一个.EXE或.SCR文件和一些.DOC或.TXT文件作为附件(这可能会造成机密文件的泄漏),同时病毒会记录十个已经发送过有毒电子邮件的地址,不再向这些地址发送有毒的电子邮件。

  感染了该病毒会出现一个有趣的现象,当鼠标移到桌面上的图标的时候,图标会移开一边,就好像图标在和鼠标玩捉迷藏。当感染该病毒一个月后,病毒会改写本地机和局域网中电脑上的文件,文件内容全部改写成"YOUARESHIT",这将导致文件不能恢复!如果在Win9x环境下,病毒就是擦写BIOS和清除硬盘上的数据,并显示以下信息:

  Another haughty bloodsucker.......

  YOU THINK YOU ARE GOD ,

  BUT YOU ARE ONLY A CHUNK OF SHIT

  备注:当你收到一个标题是一段莫名其妙的句子,并带有一个110k~120k左右的附件的电子邮件,千万不要打开,立刻删除它!现在国内的反病毒软件如安全之星等已经可以防杀该病毒了,敬请各位及时升级!

  下载专门清除病毒程序地址:  ftp://ftp.avx.com/tools/magistr/antimagistr.exe
 



----
欢迎光临聊毒斋!!!
http://cnav.cn99.com or http://cnav.6to23.com
Email: [email protected]
Oicq:201604 

[关闭][返回]