发信人: 2002-3-31()
整理人: emil(2002-03-28 09:41:31), 站内信件
|
格式化病毒Gigger详解
(小雷)
近日据悉,冠群金昌反病毒公司发现了一种新的病毒——Gigger,该病毒可以通过 Outlook、Outlook Express、mIRC 等渠道进行传播,而更为严重的是,此病毒在用户机器重启后,具有格式化硬盘的危害性!
因此,笔者几经周折,从朋友处拿到了源码,下面我们就病毒本身做一些了解。
一.安装:
笔者将该病毒植入系统,发现病毒创建了如下几个新文件:
C:\Bla.hta
C:\B.htm
C:\Windows\Samples\Wsh\Charts.js
C:\Windows\Help\Mmsn_offline.htm
然后,病毒对注册表进行感染,注册表会出现如下键值:
HKEY_CURRENT_USER\Software\thegrave\badusers\v2.0
最后,病毒列举所有的网络驱动器,并将自身复制到找到的网络驱动器的Windows\Start Menu\Programs\StartUp\Msoe.hta 目录中。
二.通过邮件传播:
该病毒通过 Outlook 或 Outlook Express 电子邮件客户端程序进行传播。
被感染的电子邮件包含如下信息:
Subject: Outlook Express Update
Body: MSNSoftware Co.
Attachment: mmsn_offline.htm
在发送电子邮件时,病毒还会将发信人与收信人的邮件地址发向另外一个地方,具体地址不甚清楚(笔者本身试用时未察觉到这点,后来查看网络纪录方知该病毒有此行为),但从网络纪录来看,应该是病毒编写者的邮件地址。
三.通过在线聊天系统(mIRC)传播:
该病毒主要通过一个 script.ini 文件完成在线聊天系统的感染。用户机器中毒后,病毒会自动查找是否该机器安装了 mIRC 程序文件,如果有,则创建一个 script.ini 文件,并向所有 mIRC 上罗列的用户传送一个 mmsn_offline.htm 文件进行感染。
四.执行:
该蠕虫病毒会在 Autoexec.bat 文件中添加如下代码:
ECHO y|format c:
这句源码的结果就是让用户机器重启并对 C 盘进行格式化。
另外,根据时间的不同,该病毒的功能不同。如果是 1、5、10、15、20 日,该病毒除了格式化 C 盘外,还会删除硬盘上的所有文件,所以,大家当心了!
---- 岁月如水,情谊如歌
|
|