|
发信人: 2002-3-31() 整理人: emil(2002-03-28 09:41:31), 站内信件 |
| 格式化病毒Gigger详解
(小雷) 近日据悉,冠群金昌反病毒公司发现了一种新的病毒——Gigger,该病毒可以通过 Outlook、Outlook Express、mIRC 等渠道进行传播,而更为严重的是,此病毒在用户机器重启后,具有格式化硬盘的危害性! 因此,笔者几经周折,从朋友处拿到了源码,下面我们就病毒本身做一些了解。 一.安装: 笔者将该病毒植入系统,发现病毒创建了如下几个新文件: C:\Bla.hta C:\B.htm C:\Windows\Samples\Wsh\Charts.js C:\Windows\Help\Mmsn_offline.htm 然后,病毒对注册表进行感染,注册表会出现如下键值: HKEY_CURRENT_USER\Software\thegrave\badusers\v2.0 最后,病毒列举所有的网络驱动器,并将自身复制到找到的网络驱动器的Windows\Start Menu\Programs\StartUp\Msoe.hta 目录中。 二.通过邮件传播: 该病毒通过 Outlook 或 Outlook Express 电子邮件客户端程序进行传播。 被感染的电子邮件包含如下信息: Subject: Outlook Express Update Body: MSNSoftware Co. Attachment: mmsn_offline.htm 在发送电子邮件时,病毒还会将发信人与收信人的邮件地址发向另外一个地方,具体地址不甚清楚(笔者本身试用时未察觉到这点,后来查看网络纪录方知该病毒有此行为),但从网络纪录来看,应该是病毒编写者的邮件地址。 三.通过在线聊天系统(mIRC)传播: 该病毒主要通过一个 script.ini 文件完成在线聊天系统的感染。用户机器中毒后,病毒会自动查找是否该机器安装了 mIRC 程序文件,如果有,则创建一个 script.ini 文件,并向所有 mIRC 上罗列的用户传送一个 mmsn_offline.htm 文件进行感染。 四.执行: 该蠕虫病毒会在 Autoexec.bat 文件中添加如下代码: ECHO y|format c: 这句源码的结果就是让用户机器重启并对 C 盘进行格式化。 另外,根据时间的不同,该病毒的功能不同。如果是 1、5、10、15、20 日,该病毒除了格式化 C 盘外,还会删除硬盘上的所有文件,所以,大家当心了! ---- 岁月如水,情谊如歌  |
|
[关闭][返回] |