病毒名称:Worm.Concept.57344概念蠕虫病毒
精华序号
:24
来自论坛
:
小熊在线
《软件论坛》
内容说明
:病毒名称:Worm.Concept.57344概念蠕虫病毒
◎
中毒了。
(1419字)
林凡顺
(65824)
于2001/11/15(20:46:09)..
Worm.Concept.57344概念蠕虫病毒
http://tech.cn.tom.com2001年09月19日来源:Tom 专稿
病毒名称:Worm.Concept.57344概念蠕虫病毒
病毒种类:蠕虫病毒
危害程度:
病毒简介:
这个病毒会通过email传播,当用户邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码,当用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经不知不觉中执行了。病毒执行时会将自己复制到临时目录,再运行在临时目录中的副本。病毒还会在windows的system目录中生成load.exe文件,同时修改system.ini中的shell从shell=explorer.exe改为explorer.exe load.exe -dontrunold,使病毒在下次系统启动时仍然被激活。另外,在system目录下,病毒还会生成一个副本:riched20.dll。而riched20.dll目录在windows系统中就存在,而它就把它覆盖掉了。
而病毒复制到临时目录下的副本(有两个文件,文件名为???????.tmp.exe),病毒会在系统下次启动时将他们删除(修改wininit.ini文件)。
为了通过邮件将自己传播出去,病毒使用了MAPI函数读取用户的email并从中读取SMTP地址和email地址。病毒还在windows的临时目录下生成一个eml格式的临时文件,大小为79225字节,该文件已经用BASE64编码将病毒包含进去。然后,病毒就用取得的地址将带毒邮件发送出去。
病毒的第二种传播途径就是用跟CodeBlue极其相似的方法,使用了IIS的UNICODE漏洞。
病毒的第三种传播途径是通过局域网的共享,传播到其它windows系统下。
另外,病毒运行时会利用ShellExcute执行系统中的一些命令如:NET.EXE、USER.EXE、SHARE.EXE等命令,将Guest用户添加到Guests、Administrators组(针对NT/2000/XP),并激活Guest用户。还将C盘根目录共享出来。
最新闪亮登场的的"概念”蠕虫,预测其破坏性极为巨大,如果用户您不幸深中此毒,大为恐慌之余,还需保持冷静,教您手工清除它,且请用户按照如下方法一步一步进行手动清除:
1、打开进程管理器,查看进程列表;
2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(其中xxx为任意文件名);
3、切换到系统的TEMP目录,寻找文件长度为57344的文件,删掉它们;
4、切换到系统的System目录,寻找名称为Riched20.DLL的文件;
5、查看Riched20.DLL的文件大小,系统的正常文件大小应该在100K以上,而Concept病毒的副本大小为57344字节,如果有长度为57344字节的Riched20.DLL,删掉它;
6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件,删掉它;
7、在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它;
8、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”;
9、如果是WinNT或者Win2000以及WinXP系统,则打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除;
10、打开共享文件夹管理,将共享“C$”去除,该共享为本地C:\的完全共享;
11、搜索整个机器,查找文件名为Readme.eml的文件,如果文件内容中包含
“
”
以及
“Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
”,则删掉该文件。
只要用户您认真仔细地依照上述方法步骤,便可做到手动清除新“概念”蠕虫,赶快行动吧!
本论坛由小熊在线(
www.beareyes.com
)
joyt
制作及维护