| 病毒分类 |
WINDOWS下的PE病毒 |
病毒名称 |
Worm.Mail.Vagan |
| 别
名 |
万珍 |
病毒长度 |
|
| 危害程度 |
|
传播途径 |
|
| 行为类型 |
WINDOWS下的木马程序 |
感
染 |
|
| 病毒发作 |
|
|
|
该病毒是一个通过邮件传播的蠕虫病毒
病毒利用微软漏洞:MS03-050
详见[https://www.microsoft.com/technet/security/bulletin/MS03-050.mspx]
该漏洞导致 Microsoft Word and Microsoft Excel 能够运行恶意代码
此病毒是一个WORD 文档,执行该文档后病毒将释放的一个可执行程序VAGANZA.exe,
该文件采用Visual Basic 编写,运行后将进行如下操作:
1.自我复制到系统的一些目录下:
文件名一般为:%本机用户名%.exe 或 ntsvc.exe 等
2.添加注册表自启动键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Vaganza-XPloit-%本机用户名%" = "%WINDIR%\java\%本机用户名%.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Local-Settings-of-%本机用户名%" = "%UserProfile%\%本机用户名%Local Settings\Application Data\%本机用户名%.exe"
注意:%本机用户名% 指的是当前登录的用户名
病毒也将修改IE的默认主页:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
"www.indonesia.go.id/?Vaganza=Dirgahayu-Indonesia-17-Agustus-MERDEKA!!!"
3.病毒会自动下载更新,下载地址为:
http://merdeka.****.com/MasterVaganza.doc
4.修改 C:\autoexec.bat,添加字符串:pause
5.结束带有下列字眼的进程:
NORTON
AVG
CILLIN
PANDA
NAV
MCAF
SCAN
VIRUS
PERSKY
VAKSIN
REGISTRY
TASK
JAVA
CONFIGURATION
COMMAND
CMD
CONTROL
SEARCH
BAT
INI
SYS
6.病毒从windows Address Book 和 OutLook 以及下列注册表键值中得到Email地址:
HKEY_CURRENT_USER\Software\Microsoft\internet Account Manager\Default Mail Account
HKEY_CURRENT_USER\Software\Microsoft\internet Account Manager\Accounts\随机名称\SMTP Email Address
病毒将得到的Email地址通过Web上传到:http://merdeka.****.com/VagMail.php
这样病毒作者通过向这些邮件地址发送带毒的邮件就可达到传播的目的
7.病毒也可通过网络共享传播
8.导致系统频繁重启
|
|
| 档案导语 |
|
7月22日,瑞星全球反病毒监测网截获一个利用WORD软件漏洞肆虐的蠕虫病毒,并命名为“万珍(Worm.Mail.Vagan)”病毒。瑞星反病毒专家介绍说,黑客大量发送带毒邮件,邮件里携带的Word文件就是病毒。有漏洞的用户只要运行这个文件,即被病毒感染。病毒会修改用户的浏览器首页,还会造成电脑频繁重启,影响正常工作。
|
|
| 瑞星建议 |
|
瑞星反病毒专家提醒广大用户:1、升级瑞星杀毒软件2005版到17.36.42版;2、尽快弥补Word软件漏洞;3、不要打开带有Word文件的可疑邮件。如果电脑上莫名其妙的出现Word文件,这就可能是病毒自动下载的恶意文件,应该将其删除并对电脑进行全面扫描。
|
|
| 备
注 |
|
瑞星技术部门对“万珍”病毒的分析表明,该病毒会把中毒用户的浏览器首页修改为印尼政府的官方网站:http://www.indonesia.go.id/,并在此网址后面添加了一串字符“Dirgahayu-Indonesia-17-Agustus-MERDEKA!!!”,似乎是为了庆祝即将到来的印尼独立日(8月17日)。表面上看,虽然电脑感染该病毒后出现的现象跟“流氓软件”的浏览器劫持很相像,但病毒的危害要远远大于“流氓软件”。
瑞星专家说,“万珍”病毒利用了微软的MS03-050漏洞,病毒作者通过构造一个恶意Word文件来侵入用户系统。Microsoft Word 2002及以下版本的所有Word软件都存在此漏洞,用户应该尽快打好补丁。另外专家提醒说,即使用户打好了补丁,当卸载Word软件并重新安装后,补丁就会失效,还得重新安装一次,那些喜欢频繁重装Word软件的用户应该格外小心。
据介绍,“万珍”病毒会从中毒电脑里收集电子邮件地址,并把这些地址发送给特定的网站,但它自身不会主动发送带毒邮件。专家怀疑有人在专门收集中毒用户的邮件地址,在互联网上出售牟取利润。
|
|
【深 度 阅 读】 相 关 文 章
