广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 3173 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
HK003
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x18
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
W32.Serflog.A
别名

WORM_FATSO.A, W32/Crog.worm, IM-Worm.W32.Sumom.a, , Sumom.A, W32/Sumom-A, Win32.Sumom.A, Win32/Bropia.17429!Worm, Win32.Bropia.U
内容

W32.Serflog.A 是一种常驻于记录体的蠕虫,它经由 MSN Messenger 散播。当系统受到感染,它会传递即时讯息给所有在线的 MSN messenger 连络人,而讯息包含一个连结用来下载蠕虫到连络人的系统。它也可以经由eMule 和点对点档案共享程式散播。

当浏览互联网时,若使用者存取防毒软件和电脑保安公司相关的网址时,会被蠕虫重新导向到特定的网址。

蠕虫会储存一个名为 "Crazy-Frog.Html" 档案到系统的根目录并执行它,然后会在以下的网址显示一个大图像:


它亦会存取以下的网址(用来计算全球受蠕虫感染的人数)和显示在 Crazy-Frog.Html 档案的底部:

http://udjc.com/coun<BLOKCED>r/i...yyyyyy&s=bluesky
蠕虫会储存一个名为 Message to n00b LARISSA.txt 档案到系统的根目录并执行它。它可能包含以下的讯息:

"Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking Saving the world from Bropia, the world n33ds saving from you!

'-S-K-Y-'-D-E-V-I-L-'"

此外,它也会储存一个名为 "British National Party.jpg" 档案,由受感染系统的预设影像检视器开启。

破坏力

1. 它经由 MSN Messenger 传送讯息给所有寻找到的 MSN 连络人。
2. 蠕虫复制自己到以下的视窗系统资料夹:

%windir%\formatsys.exe
%windir%\serbw.exe
%windir%\msmbw.exe
%windir%\lspt.exe
它尝试下载以下档案到系统的根目录 (如 C:\   ):

Annoying crazy frog getting killed.pif
Crazy frog gets killed by train!.pif
Fat Elvis! lol.pif
How a Blonde Eats a Banana...pif
Jennifer Lopez.scr
LOL that ur pic!.pif
lspt.exe
Me on holiday!.pif
Mona Lisa Wants Her Smile Back.pif
My new photo!.pif
See my lesbian friends.pif
The Cat And The Fan piccy.pif
Topless in Mini Skirt! lol.pif
Crazy-Frog.Html
Message to n00b LARISSA.txt
Crazy-Frog.Html
British National Party.jpg
3. 当蠕虫档案被执行时,它会建立以下登录索引值:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run%Random Value% = "%Windows%\msmbw.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run%Random Value% = "%Windows%\msmbw.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices%Random Value% = "%Windows%\msmbw.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run%Random Value% = "%Windows%\msmbw.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run%Random Value% = "%Windows%\msmbw.exe"

* "%Random Value%" 可能是以下其中一个:

ltwob
serpe
avnort
4. 蠕虫会加入或更改以下的登录索引值来启动视窗的系统还原工具程式:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestoreDisableSR = "0"DisableConfig = "0"

5. 它会经 eMule 和点对点档案共享程式来传播。它复制自己和命名为以下的档案名称并储存到受感染系统的资料夹 "%Program Files%\Program Files\eMule\Incoming\ ","%Root%\My Shared folder" 和 <User Profile>\Shared folder:

Messenger Plus! 3.50.exe
MSN all version polygamy.exe
MSN nudge bomb.exe
6. 它会更改 HOSTS 档案令使用者尝试存取以下防毒软件和电脑保安公司相关的网址时,将受感染的使用者重新导向到 "64.233.167.104":

symantec.com...
sophos.com...
mcafee.com...
viruslist.com...
f-secure.com...
avp.com...
kaspersky.com...
networkassociates.com...
ca.com...
my-etrust.com...
nai.com...
trendmicro.com...
grisoft.com...
securityresponse.symantec.com
symantec.com
sophos.com
mcafee.com
liveupdate.symantecliveupdate.com
viruslist.com
f-secure.com
kaspersky.com
kaspersky-labs.com
avp.com
networkassociates.com
ca.com
mast.mcafee.com
my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
grisoft.com
sandbox.norman.no
pandasoftware.com...
uk.trendmicro-europe.com
7. 它尝试终止以下系统上运行的程序:

apvxdwin.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avengine.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bawindo.exe
blackd.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccpxysvc.exe
cfiaudit.exe
cmd.exe
CmdPrompt32.pif
defwatch.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
firewall.exe
frameworkservice.exe
icssuppnt.exe
icsupp95.exe
LOVE_LETTER_FOR_YOU.pif
luall.exe
lucoms~1.exe
mcagent.exe
mcshield.exe
mcupdate.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
msconfig.exe
msdev.exe
MSLARISSA.pif
navapsvc.exe
navapw32.exe
nisum.exe
nopdb.exe
nprotect.exe
nupgrade.exe
ollydbg.exe
outpost.exe
pavfires.exe
pavproxy.exe
pavsrv50.exe
peid.exe
petools.exe
regedit.exe
reshacker.ex*e
rtvscan.exe
rulaunch.exe
savscan.exe
shstat.exe
sndsrvc.exe
SP00Lsv32.pif
symlcsvc.exe
taskmgr.exe
Update.exe
updaterui.exe
vshwin32.exe
vsstat.exe
vstskmgr.exe
w32dasm.exe
winhex.exe
WinVBS.vbs
wscript.exe
还会尝试终止视窗标题含有以下字串的程序:

-CILLIN
ADWARE
ALERTS
ANTI
AUTOSTARTED
Avg
BENIGN
BLOCKER
BUG
BULLGUARD
BUSTER
CENTER
CLEANER
CMD
Command
DESTROY
DETECTION
DOCTOR
EARTHLINK
EDITOR
ELIMINATE
EYE
FIGHT
Filter
FIREWALL
FIX
FIXING
HEAL
HELP
HUNTER
KERIO
Kill
LABS
LIVEUPDATE
MALWARE
MALWHERE
MCAFEE
NETCOP
NOD32
NORTON
PANDA
PROCESS!A
PROMPT
PROTECTOR
REGISTRY
REMOVAL
RESTORE
SANDBOX
SCAN
SECURE
SECURITY
SOPHOS
SPY
SPYBOT
SPYWARE
STOPPER
SWEEPER
TASK
TOOL
TREND
Update
VCATCH
VIRUS
WATCH
WORM
当程序被终止时,蠕虫仍然在记录体运行期间会防止这些程序再次执行,它并会防止视窗档案总管浏览储存这个正在执行的蠕虫程式副本的资料夹。

8. 它尝试经由 CDs 传播。蠕虫会储存以下档案到 "C:\Documents and Settings\%Username%\Local Settings\Application Data\Microsoft\CD Burning\ directory":

AUTORUN.EXE
AUTORUN.INF
解决方案

侦测及清除蠕虫

电脑病毒防护软件供应商已提供了新病毒清单去侦察及清除此病毒。

如果你没有安装任何电脑病毒防护软件,你可以下载以下清除病毒的工具程式进行清除。

Symantec
http://securityresponse.symante.../FixSflog.exe

注意:请根据防毒软件公司的指引来清除病毒和修复系统。




献花 x0 回到顶端 [楼 主] From:香港 电讯盈科 | Posted:2005-03-23 19:24 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.053473 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言