精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>☆病毒分析☆>>格式化病毒Gigger详解

主题:格式化病毒Gigger详解
发信人: 2002-3-31()
整理人: emil(2002-03-28 09:41:31), 站内信件
格式化病毒Gigger详解
(小雷)

近日据悉,冠群金昌反病毒公司发现了一种新的病毒——Gigger,该病毒可以通过 Outlook、Outlook Express、mIRC 等渠道进行传播,而更为严重的是,此病毒在用户机器重启后,具有格式化硬盘的危害性!

因此,笔者几经周折,从朋友处拿到了源码,下面我们就病毒本身做一些了解。

一.安装:

笔者将该病毒植入系统,发现病毒创建了如下几个新文件:

  C:\Bla.hta
  C:\B.htm
  C:\Windows\Samples\Wsh\Charts.js
  C:\Windows\Help\Mmsn_offline.htm

然后,病毒对注册表进行感染,注册表会出现如下键值:

  HKEY_CURRENT_USER\Software\thegrave\badusers\v2.0 

最后,病毒列举所有的网络驱动器,并将自身复制到找到的网络驱动器的Windows\Start Menu\Programs\StartUp\Msoe.hta 目录中。

二.通过邮件传播:

该病毒通过 Outlook 或 Outlook Express 电子邮件客户端程序进行传播。

被感染的电子邮件包含如下信息:

  Subject: Outlook Express Update
  Body: MSNSoftware Co.
  Attachment: mmsn_offline.htm

在发送电子邮件时,病毒还会将发信人与收信人的邮件地址发向另外一个地方,具体地址不甚清楚(笔者本身试用时未察觉到这点,后来查看网络纪录方知该病毒有此行为),但从网络纪录来看,应该是病毒编写者的邮件地址。

三.通过在线聊天系统(mIRC)传播:

该病毒主要通过一个 script.ini 文件完成在线聊天系统的感染。用户机器中毒后,病毒会自动查找是否该机器安装了 mIRC 程序文件,如果有,则创建一个 script.ini 文件,并向所有 mIRC 上罗列的用户传送一个 mmsn_offline.htm 文件进行感染。

四.执行:

该蠕虫病毒会在 Autoexec.bat 文件中添加如下代码:

  ECHO y|format c: 

这句源码的结果就是让用户机器重启并对 C 盘进行格式化。

另外,根据时间的不同,该病毒的功能不同。如果是 1、5、10、15、20 日,该病毒除了格式化 C 盘外,还会删除硬盘上的所有文件,所以,大家当心了!



----
,
                                                          
                                               

[关闭][返回]