 |
| 等 级:资深长老 |
| 经 验 值:10916 |
| 魅 力 值:6914 |
| 龙 币:25858 |
| 积 分:15580.8 |
| 注册日期:2004-06-30 |
| |
|
|
|
今天是愚人节~可是这个帖子不骗人~愚人节大战麦英病毒~
周末事愚人节~
我的电脑又赶了一次时髦~
2天什么都没干~
就折腾这个麦英蠕虫病毒了~
请大家上班后及时查杀电脑和一切可移动媒体~
(我的电脑就是因为U盘借给别人使用后感染的~)
麦英病毒03月29日晚在全国大面积爆发~目前还没有有效的专杀工具~
Worm.MyInfect.af 我要评论
病毒别名: 处理时间:2007-03-30 威胁级别:★★
中文名称:麦英 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个Win32平台下的感染型病毒,感染本地磁盘、可移动磁盘及共享目录中的.exe文件,脚本文件,并连接网络下载其他病毒。该病毒利用微软最新的ANI漏洞、邮件、移动磁盘及网络共享目录传播自身,由于该漏洞微软目前还没有发布相应补丁,危害极大。
1、释放病毒文件到如下路径:
%SYSTEM%\sysload3.exe
2、修改注册表,添加如下键值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="C:\WINDOWS\system32\sysload3.exe"
尝试删除如下键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\internat.exe
3、起IE进程,注入病毒代码,连接网络下载病毒配置文件
配置文件:该网址不再展示**.com/css.css,内容如下
[config]
Version=1.0.6
NUM=7
1=http://a.2007ip.com/cald/01.gif
2=http://a.2007ip.com/cald/02.gif
3=http://a.2007ip.com/cald/03.gif
4=http://a.2007ip.com/cald/04.gif
5=http://a.2007ip.com/cald/05.gif
6=http://a.2007ip.com/cald/06.gif
7=http://a.2007ip.com/cald/07.gif
hos=http://if.iloveck.com/test/hos.rar
UpdateMe=http://a.2007ip.com/css.exe
tongji=http://if.iloveck.com/test/tongji.htm
HomePage=http://www.5yip.com/?cj
MAIL_USER=i_love_cq
MAIL_PASS=654321
SMTP_SERVER=smtp.sohu.com
4、读取配置文件下载病毒。
5、读取配置文件,当发现病毒新版本时,下载更新。
6、发送邮件传播自身:
主题:你和谁视频的时候被拍下的?给你笑死了!
内容:看你那小样!我看你是出名了!
你看这个地址!你的脸拍的那么清楚!你变明星了!
7、起NOTEPAD进程,便利本地磁盘,网络共享目录,感染大小在10K---10M之间的.exe文件,感染扩展名为.ASP、.JSP、PHP、HTM、ASPX、HTML的脚本文件,使病毒难以被察觉。
8、修改host文件,屏蔽如下网站:
127.0.0.1 localhost
127.0.0.1 mmm.caifu18.net
127.0.0.1 该网址不再展示 />
127.0.0.1 d.qbbd.com
127.0.0.1 该网址不再展示 />
127.0.0.1 该网址不再展示 />
127.0.0.1 该网址不再展示 />
127.0.0.1 该网址不再展示 />
127.0.0.1 60.169.0.66
127.0.0.1 60.169.1.29
127.0.0.1 该网址不再展示 />
127.0.0.1 down.97725.com
127.0.0.1 ip.315hack.com
127.0.0.1 ip.54liumang.com
127.0.0.1 该网址不再展示 />
127.0.0.1 xulao.com
127.0.0.1 该网址不再展示 />
127.0.0.1 该网址不再展示 />
127.0.0.1 该网址不再展示 />
127.0.0.1 该网址不再展示 />
127.0.0.1 do.77276.com
127.0.0.1 该网址不再展示 />
127.0.0.1 adnx.yygou.cn
127.0.0.1 222.73.220.45
127.0.0.1 该网址不再展示 />
127.0.0.1 该网址不再展示 />
127.0.0.1 wm,103715.com
127.0.0.1 该网址不再展示 />
127.0.0.1 i.96981.com
127.0.0.1 d.77276.com
127.0.0.1 www1.cw988.cn
127.0.0.1 cool.47555.com
127.0.0.1 该网址不再展示 />
127.0.0.1 55880.cn
9、检测软驱,若存在则复制病毒文件到其中文件名为tool.exe,并生成autorun.inf文件,使病毒可以自动运行,以传播自身。
10、利用微软最新ANI漏洞传播自身。
『声明:以上内容为本站网友《泣无声》原创,转载需征得原作者同意并注明转载自www.hlgnet.com』 |
|
--
大事难事看担当,逆境顺境看胸襟,有舍有得看智慧,是成是败看坚持
~河蟹评论~道理你懂~
 |
|
|
2007-04-01 16:54:47
