病毒名称:
W32.Gunsan
类别: 蠕虫
病毒资料:
受影响系统:Windows 98, Windows NT, windows 2000, Windows XP, Windows Me
不受影响系统:Macintosh, Unix, Linux
病毒危害:
1.大量发送邮件:会向受感染机器上的所有邮件地址发送带毒邮件;
2.删除文件:会删除病毒同目录下含有McAfee, softice, numega, antivirus, anti-virus, win32dasm, sophos, catsclaw, claw95, lockdown, symantec, firewall, virusscan, virus-scan, fprot, f-prot, zone labs, 或 atguard的所有文件;
3.修改文件:会修改后缀为.kix的文件以运行病毒,另外,.Html文件也会被修改成自动打开某个微软站点;
4.导致系统不稳定:会删除必要的系统文件;
5.危及安全设置:会删除反病毒及防火墙产品文件;
病毒传播:
主题:一个单空格符
附件:Tast.exe
附件大小:51200字节
技术特征:
这是一个邮件蠕虫,会感染本地磁盘及共享网络,同时会在安装了IRC的用户电脑上为黑客远程控制开后门。运行后,它会:
1.拷贝自身为%SystemExplorer16.exe;
2.添加键值Explorer %System%Explorer16.exe至注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices中,使得病毒在Windows启动时自动运行;
3.在Windows9598ME机器上,病毒会将自己注册成一项服务,这使得它能够在不被用户查觉时运行;
4.接着,搜索%WindowsInternet Logs文件夹以确定机器上是否安装了ZoneAlarm个人防火墙;如果此文件夹存在,就会C:Noalarm.bat,此文件含有解保护的指令并且会删除如下文件:
%System%Vsdata95.vxd
%System%Vsdatant.sys
%System%Vsdata.dll
%System%Vsmonapi.dll
%System%Vspubapi.dll
%System%Vsmonapi.dll
%WindowsInternet Logs*.*
Progra~1�oneLa~1�oneAl~1*.* (在Windows安装盘下.)
%System%�oneLabs*.*
5.随后,添加一行命令至C:Autoexec.bat,使得下次重启机器时其中的指令会被运行;
6.修改DNS配置文件%WindowsHosts ,使得如下站点名变为本地计算机(127.0.0.1)的地址,而不是这些站点的真正互联网地址了;
mcafee.com
mcaffee.com
norton.com
theregister.co.uk[未结束][iduba_page]www.zdnet.com
sophos.com
zonelabs.com
zonealarm.com
7.之后,在0至4999之间随机选择一个TCP/IP端口,将此端口号记录到C:Skyliner.dat文本文件中,随后病毒仅使用这个端口。接着病毒会设置一个服务器来监听此端口的网络连接,假定病毒作者通过扫描网络以寻找有安全漏洞的机器,服务器会用HTTP格式的标准响应来回复;
8.用微软的某个站点打开HTTP连接,以此来测试被感染机器是否与互联网相连。若连接了,则会在记录完所连接Web服务器的IP地址后,立即关闭连接。若机器并没与互联网相连,病毒也无法连接微软站点时,它会每65秒就连一次,直至连接成功;
9.病毒检测到机器正与互联网连接后,会检查机器的邮件配置情况,阅读键值SoftwareMicrosoftInternet Account ManagerDefault Mail Account
并打开注册表键SoftwareMicrosoftInternet Account ManagerAccounts
或SoftwareMicrosoftInternet Account ManagerAccounts
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
新蠕虫"Gunsan"危害大 会删除大量文件。
发现日期:
2002-6-26
|
