该病毒是一个多态VBS病毒,它被保存在一个HTML页面中或作为单独的VBS文件。它同时具有网络蠕虫和木马的特性。一旦执行,该病毒将自身发送给outlook地址簿中的每个人,并且感染\Windows,\Windows\System,和 \Temp文件夹下的具有 .html, .htm, .shmtl,或.asp扩展名的文件。
该病毒还将自身复制到网络驱动器的\Temp文件夹中,并改变IE的安全设置,将默认其始页连接到染毒的HTML页面。它还打开写字板并向打开的文档中输入文字。该病毒的script脚本还设计了锁定键盘和鼠标的功能。
如果IE的安全设置比较正确,那么每次染毒页面被打开时,浏览器都会提出警告:该页面中的某个程序不安全,并建议不要运行它。如果你遵循了该建议,蠕虫将显示下面的消息:
To see a postcard you must apply the ActiveX format
并返回到IE警告框,这样一直循环直到用户同意运行该程序。唯一中断它的办法是使用任务管理器来终止它。
当执行时,病毒的script脚本将执行下面的几项工作:
1、更改本地计算机的IE安全设置:将"Initialize and script ActiveX controls not marked as safe."设为可用,这样,就允许运行包含在HTML页面中的任何script脚本而无须任何许可选项。
2、将自身复制成多个副本,并保存成下列文件:
\2001.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
\dragonball.GT(dan kokoro hikareteku).{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
\millenium.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
该副本被设置为IE的起始页。
\ post-card.tif.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
该文件被用做邮件的附件。其中扩展名{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B} 是一个MTHML文件标识。
3、然后script文件安装并执行\\[db.GT].wsf文件,该文件是一个EMAIL蠕虫,一旦执行它将创建一个新邮件并附加附件发送给outlook地址簿中的每个人。
邮件的主题可能是下列其中之一:
Happy new Millenium (read the postcard (attached file))
Postcard for you is waiting (in attachment)
Happy 2001 (for more action check attached file)
Stroke of luck? in 2001? (happy 2001 -read attachment)
Goodies
You have got a postcard (attached file)
Someone sent you a postcard (in attachment)
消息主体是HTML格式,其中包含下面的文本:
HaPPy NeW Millenium
Happy new year
Best wishes from:
your dear ...
4、接下来改变一些注册键的值:
将HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\RegisteredOwner的值改为Lord YuP - [C]apsule [C]orp
HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\RegisteredOrganization的值改为DragonBall GT
5、感染\Windows, \Windows\System, 或\Temp文件夹下的所有带.html, .htm, .shmtl, 和 .asp
扩展名的文件。
6、试图将自身复制到所有映像网络驱动器的 \Temp目录下,文件名为
:\docs.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
7、安装并运行下面的VBS脚本:
\payl0ad.vbe
8、如果当前日期为星期一并且时间为4:32, 4:37, 或 4:38 (A.M. 或P.M.),或者星期四的下午2:40到 2:45 ,上午4:40 to 4:45,Payl0ad.vbe文件将会执行,它会打开写字板并输入下面的文本:
DB FaMiLy sTrIkEz oNe MoRe Time wiTh:
DB.GT &127;today we infected you but tommorow we will infect rest of the ANIME WORLD.
YuP [C]apsule[C]orp
9、企图禁止键盘和鼠标。
|
|
