发信人: qilin()
整理人: (1999-09-20 09:44:09), 站内信件
|
首 例 NT 病 毒 RemoteExplorer 的 特 征
RemoteExplorer 病 毒 最 突 出 的 特 征 是 不 需 要 用 户 的
介 入 ( 如 使 用 软 盘、email 等), 它 本 身 就 能 移 动、
传 输 和 复 制。
* 它 是 能 在 NT 服 务 器 或 NT 工 作 站 上 传 播 的 第 一 种 病
毒 程 序。 该 病 毒 通 过 对 目 标 可 执 行 文 件 进 行 压 缩 而
传 播。
* 它 在 NT 系 统 中 的 NT 驱 动 程 序 目 录(NTDriver
directory ) 中 建 立 一 份 自 身 的 副 本, 从 而 实 现 在
此 系 统 中 的 安 装, 并 且 能 够 自 行 调 用 IE403R .SYS 。
它 还 用 “RemoteExplorer” 的 名 字 作 为 一 个 服 务 进
行 安 装。 它 还 带 有 支 持 其 感 染 和 加 密 操 作 的 DLL 文 件。
* 通 过 初 步 分 析, 我 们 知 道 Remote Explorer 病 毒 利 用
窃 取 域 管 理 员(domainadministrator ) 的 安 全 特 权 以
进
行 扩 散, 因 为 窃 取 到 此 特 权 后 即 可 向 其 它 Windows
系 统 传 输 其 病 毒 文 件。 一 旦 进 入 系 统, 它 就 可 以 感
染 文 件 进 行 压 缩 而 且 随 机 地 加 入 加 密 的 数 据。
*WindowsNT 是 此 病 毒 进 行 扩 散 的 主 要 基 地。 其 他 的
Windows 操 作 系 统 可 以 容 纳 受 此 病 毒 感 染 的 文 件,
但 是 不 能 支 持 它 继 续 扩 散。
* 它 能 够 感 染 任 何 EXE 文 件, 并 利 用 一 个 压 缩 程 序
(a.k.a.GZIP, 这 是 一 个 UNIX 程 序) 使 得 该 文 件 失
效。
* 它 对 于 TXT 和 HTML 格 式 等 数 据 文 件 使 用 一 种 加 密
算 法。 它 随 机 地 选 择 一 个 目 录, 对 于 符 合 其 设 定 原
则 的 文 件 进 行 感 染, 对 于 不 能 感 染 的 文 件 则 进 行 加
密。
* 它 是 一 个125K 字 节 长 的 文 件 感 染 型 病 毒 程 序, 大 约
有 50,000 行 代 码。 这 是 一 个 极 大 的 复 杂 的 病 毒 程 序。
* 它 是 用 C 语 言 写 成 的。 初 步 估 计, 一 个 人 编 写 此 病
毒 需 要 花 200 个 小 时 以 上, 而 且 他 还 需 要 有 其 他 人 的
协 助, 给 他 提 供 有 关 的 知 识 和 附 加 的 预 编 译 过 的 代
码。
* 它 是 常 驻 在 内 存 的。 因 此, 受 其 感 染 的 系 统 必 须
关 闭 电 源, 然 后 在 一 个“ 清 洁 状 态” 下 用 NAI 公 司 的
命 令 行 病 毒 扫 描 程 序 进 行 扫 描。 现 在 查 出 此 病 毒 没
问 题, 但 清 除 它 还 做 不 到。
* 它 还 带 有 一 个 DLL 文 件, 用 以 支 持 其 感 染 过 程, 如
果 删 除 此 DLL , 它 还 会 产 生 另 一 份 副 本。
* 此 病 毒 还 有 一 个 时 间 程 序, 其 目 的 是 设 定 在 每 星
期 六 的 下 午 3 点 到 星 期 日 的 上 午 6 点 这 段 时 间 内, 加
速 搜 索 和 感 染 过 程。 此 病 毒 不 增 加 系 统 的 负 荷。
* 此 病 毒 与 Dr .Watson 程 序 有 一 些 交 互 作 用。 这 个 交
互 作 用 的 影 响 正 在 研 究 中。
* 目 前, 还 没 有 办 法 从 被 感 染 文 件 中 清 除 其 加 密 数
据 或 者 使 之 解 压 缩。NAI 正 在 开 发 一 个 程 序 以 从 内 存
中 清 除 病 毒 而 不 必 重 新 启 动。
--
※ 来源:.网易虚拟社区 club.netease.com.[FROM: 202.99.197.51]
|
|