病毒依赖系统:WIN95/98/2000
感染文件类型:htm,html,vbs,plg,asp
发作现象:删文件,蓝屏,死机
1. 感染:
1. 复制自身到后缀为VBS的文件中
2. 复制自身到后缀为ASP、PLG文件中
3. 复制自身到文件后缀的前三个字节是‘HTM’文件中
4. 传染所有本地磁盘及网络驱动器的所有后缀为 VBS、ASP、PLG、HTM、HTML 的文件。
5. 给所有在地址薄中有记录的人发邮件,每隔10秒钟以附件(Readme.html)形式发送,但是由于病毒写作者的一个错误,邮件在大多数系统环境下不能正常被发送。
6. 往以下四个地址发邮件不带附件
1) "president@whitehouse.gov"
2) "vice.president@whitehouse.gov"
3) "first.lady@whitehouse.gov"
4) "mrs.cheney@whitehouse.gov"
7. 邮件的主题是以下十个中的随机的一个
1) "Thanks for helping me!"
2) "The police are investigating the robbery"
3) "an application for a job"
4) "The aspects of an application process pertinent to OSI"
5) "What a pleasant weather. Why not go out for a walk?"
6) "These countries have gone / been through too many wars"
7) "We've fixed on the 17th of April for the wedding"
8) "The wind failed and the sea returned to calmness."
9) "the sitting is open!"
8.病毒写在系统目录下的固定的文件是
1) "Mdm.vbs"
2) "Profile.vbs"
3) "user.dll"
4) "Readme.html"
5) "system.dll"
9.病毒写注册表是以下三个, 使系统启动时启动病毒
1) HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run\Mdm
= C:\WINDOWS\SYSTEM\Mdm.vbs“
2) HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\RunServices\Profile
= C:\WINDOWS\Profile.vbs
3) HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\Windows Scripting Host\Setings\Timeout = 0
2. 发作:
1. 病毒执行是就进行全盘搜索, 传染文件。并每个 10秒发一次邮件。
2. 网页被执行后,程序回有一个隐藏的窗口,但浏览器回提示有不安全的 ActiveX , 并提示用户是否执行
3. 被病毒感染后,每次启动病毒都会自行。 占用较多的资源
4. 病毒在 7月5日是会发作,有较大的破坏性,病毒在系统目录下创建 75.htm 并导致计算机蓝屏,每次启动时也会蓝屏, 但此现象只会在WIN95、WIN97 或 WIN98 的系统上出现, WIN2000下没有这个现象
5. 病毒会检测 计算机的计算机名和用户域的名称如果包含以下五个字符串
1) "white home"
2) "central intelligence agency"
3) "bush"
4) "american stock exchang"
5) "chief executive"
就会在C:\Autoexec.bat文件中写如下两行
@ECHO OFF PATH C:\WINDOWS\COMMAND
DELTREE c:在Autoexec.bat被执行时就会删除所有C盘的文件,并没有提示.此外删除除了C盘以外的所有固定硬盘分区根目录一级子目录下的所有文件和目录。在前台有一个关不掉的窗口。
3.其他信息:
1. 这种病毒通过电子邮件传播,只要在域名、网络及电脑名称中遇有白宫、CIA、布什、USA等词,就会对硬盘中的所有文件进行删除。另外该病毒还对微软公司Outlook中的所有人每隔10秒钟以附件(Readme.html)形式发送无数邮件。
2. 对president@whitehouse.gov,vicepresident@whitehouse.gov等与白宫相关人员的信箱用电子邮件发起猛烈的攻势。
3. 病毒作者本来想针对Microsoft IIS服务对服务器的主页进行感染,但有一个小小的笔误。
4. 此病毒是trap病毒的原始样本,感染后即为trap病毒,由于此病毒加了一段加密的脚本语言,此脚本的功能是将trap病毒体放出.
4.查杀毒:
对vbs文件就是病毒体的文件删除带毒文件。
对dll的文件就是病毒体的文件删除带毒文件。
对病毒感染的dll,清除病毒的方式杀毒。
其余感染的文件采取清除病毒的方式杀毒。
|
|
