W32.HLLW.Winevar_病毒数据库

病毒名称: W32.HLLW.Winevar 类别：蠕虫病毒资料：      受影响系统：Windows 95, Windows 98, Windows NT, windows 2000, Windows XP, Windows Me

    不受影响系统：Macintosh, OS/2, Unix, Linux

    病毒危害：

    删除文件、DOS攻击及释放病毒

    1.会向.htm及.dbx中的邮件地址发送大量病毒邮件；

    2.删除文件：会删除任何目录名含有"antivirus", "cillin", "nlab", "vacc"字串的目录下的所有文件；如果系统负载够高的话，还会删除任何目录下的所有文件；

    3.会释放W32.Funlove.4099病毒、该病毒又会去感染其他文件；

    4.降低系统性能：使得系统变慢；

    5.导致系统不稳定：在删除许多文件后，可使系统崩溃。

    病毒传播：

    邮件主题：Re: AVAR(Association of Anti-Virus Asia Reseachers) 或 N`4?[registered organisation或"Trand Microsoft Inc."]

    附件： 91089字节(.ceo及.pif) 609字节(.htm)

    技术特征：

    这是一个邮件蠕虫，会关闭一些反病毒软件及防火墙程序，同时会释放并运行W32.FunLove.4099病毒。建议用户删除任何附件扩展名为.pif或.ceo的邮件。

    该蠕虫通过邮件传播，有三个附件，附件名各不相同，但其格式如下：

    WIN[某些字符].TXT (12.6 KB) MUSIC_1.HTM

    WIN[某些字符].GIF (120 bytes) MUSIC_2.CEO

    WIN[某些字符].PIF

    其中.HTM文件利用了“微软虚拟主机ActiveX组件”漏洞，将.CEO扩展名变成可执行文件。

    邮件本身利用了“错误的MIME头部导致IE自动执行附件”的漏洞,不过由于蠕虫存在一个Bug，使得附件无法自动运行。

    蠕虫初次运行时，它会试图终止并关闭一些反病毒软件及防火墙产品。含有如下字符串的进程及服务都会被终止：

    view

    debu


    scan

    mon

    vir

    iom

    ice

    anti

    fir

    prot

    secu

    dbg

    avk

    pcc

    spy

    或

    microsoft

    ms

    _np

    r n

    cicer

    irmon

    smtpsvc

    moniker

    Office

    program

    explorewclass

    蠕虫在检查完所有的进程及服务后，它会将自己加入到注册表中：

    Windows 9x/Me系统上，将自己加到HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices中，其中键值名可能为默认值或"WIN[某些字符]" ，但其值为WIN[某些字符].PIF。

    在所有平台上，会添加到HKLMSoftwareMicrosoftWindowsCurrentVersionRun及 HKCUSoftwareMicrosoftWindowsCurrentVersionRun中，键值名可能为默认值或"WIN[某些字符]"，每次蠕虫运行时，新的键值就会加入到这些键中。

    修改注册表后，蠕虫开始复制自己到％system％目录下，命名WIN[某些字符].PIF，然后运行该文件，将当前时间以毫秒的形式作为参数进行传递，当出现第二种这样的情况下，蠕虫会检查传递参数共用的时间，如果超过512毫秒，则它会显示如下信息框并激活蠕虫的有效载荷：

    有效载荷运行后，蠕虫每一秒钟就会终止及关闭反病毒及防火墙产品一次，同时试图删除蠕虫运行目录所有子目录下的文件。

    若有效载荷没有被激活，蠕虫会试图创建一个互斥体“~~ Drone of StarCraft~~”。如果此时没有激活的Internet连接，它会从注册表中获取已注册公司及注册用户。假如注册公司不存在，蠕虫就会用"Trand Microsoft Inc."代替。而如果注册表用户不存在，则用"AntiVirus"代替。

    获得注册信息后，它会将自己复制为％desktop％EXPLORER.PIF。然后检查本地电脑各个驱动器所有子目录下的文件，以查找.HTM及.DBX文件。在查找的过程中，如果发现子目录的名字含有如下字符串：

    antivirus


    cillin

    nlab

    vacc

    蠕虫会删除这些目录下的所有文件。这些字符串分别与韩国，中国及日本流行的杀毒软件相对应。

    假如找到了.HTM或.DBX文件，就从中获取邮件地址。如果地址后缀不是"@microsoft."，蠕虫会向此地址发送蠕虫副本。然后它将搜索到的收件人名单保存到注册表HKCRSoftwareMicrosoftDataFactory中。不过，该名单只是当前的，每次蠕虫重启时都会被删掉。

    蠕虫发送的邮件格式：

    发件人: [registered owner or "AntiVirus"] [recipient‘s e-mail address]

    收件人: [recipient‘s e-mail address]

    主题:

    Re: AVAR(Association of Anti-Virus Asia Reseachers)

    或

    N`4?[registered organisation or "Trand Microsoft Inc."]

    正文:

    AVAR(Association of Anti-Virus Asia Reseachers) - Report.

    Invariably, Anti-Virus Program is very foolish.

    或

    [registered owner] - [registered organisation]

    如果由于找不到.HTM及.DBX文件或因为出现错误而没有发送邮件的话，蠕虫会显示如上所示的信息框。成功发送邮件后，它还会试图对symantec.com站点发动拒绝服务攻击。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ：      别名：W32/Korvar [McAfee], WORM_WINEVAR.A [Trend], ***{I-Worm.Winevar}*** [KAV]

发现日期： 2002-11-23