无忧启动论坛

标题: 瑞星15.17.01版紧急升级!!! [打印本页]

作者: dcs 时间: 2003-1-10 22:05
标题: 瑞星15.17.01版紧急升级!!!
瑞星15.17.01dos镜像：rav15.17.01.img。论坛里有下！
15.17.01版紧急升级可查杀“阿芙伦”的2个变种病毒
--------------------------------------------------------------------------------
www.rising.com.cn  2003-1-10 17:59:00  信息源:瑞星公司
WINDOWS下的PE病毒(2)
1.Worm.Avron.b
破坏方法：此病毒感染安装有 Windows 95, Windows 98, Windows Me操作系统的计算机，发作日期为7、11、24日。当病毒启动后，如果发现自己已经驻留系统中，则退出；否则，开辟七个线程，进行疯狂的破坏。但是普通用户却感觉不到。
破坏行径如下：
一、立即杀死下列112个进程（按照病毒搜索顺序排列）：
KPF.EXE
KPFW32.EXE
_AVPM.EXE
AUTODOWN.EXE
AVKSERV.EXE
AVPUPD.EXE
BLACKD.EXE
CFIND.EXE
CLEANER.EXE
ECENGINE.EXE
F-PROT.EXE
FP-WIN.EXE
IAMSERV.EXE
ICLOADNT.EXE
IFACE.EXE
LOOKOUT.EXE
N32SCAN.EXE
NAVW32.EXE
NORMIST.EXE
PADMIN.EXE
PCCWIN98.EXE
RAV7WIN.EXE
SCAN95.EXE
SMC.EXE
TCA.EXE
VETTRAY.EXE
VSSTAT.EXE
ACKWIN32.EXE
AVCONSOL.EXE
AVPNT.EXE
AVPDOS32.EXE
AVSCHED32.EXE
BLACKICE.EXE
EFINET32.EXE
CLEANER3.EXE
ESAFE.EXE
F-PROT95.EXE
FPROT.EXE
IBMASN.EXE
ICMOON.EXE
IOMON98.EXE
LUALL.EXE
NAVAPW32.EXE
NAVWNT.EXE
NUPGRADE.EXE
PAVCL.EXE
PCFWALLICON.EXE
RESCUE.EXE
SCANPM.EXE
SPHINX.EXE
TDS2-98.EXE
VSSCAN40.EXE
WEBSCANX.EXE
WEBSCAN.EXE
ANTI-TROJAN.EXE
AVE32.EXE
AVP.EXE
AVPM.EXE
AVWIN95.EXE
CFIADMIN.EXE
CLAW95.EXE
DVP95.EXE
ESPWATCH.EXE
F-STOPW.EXE
FRW.EXE
IBMAVSP.EXE
ICSUPP95.EXE
JED.EXE
MOOLIVE.EXE
NAVLU32.EXE
NISUM.EXE
NVC95.EXE
NAVSCHED.EXE
PERSFW.EXE
SAFEWEB.EXE
SCRSCAN.EXE
SWEEP95.EXE
TDS2-NT.EXE
VSECOMR.EXE
WFINDV32.EXE
AVPCC.EXE
_AVPCC.EXE
APVXDWIN.EXE
AVGCTRL.EXE
_AVP32.EXE
AVPTC32.EXE
AVWUPD32.EXE
CFIAUDIT.EXE
CLAW95CT.EXE
DV95_O.EXE
DV95.EXE
F-AGNT95.EXE
FINDVIRU.EXE
IAMAPP.EXE
ICLOAD95.EXE
ICSSUPPNT.EXE
LOCKDOWN2000.EXE
MPFTRAY.EXE
NAVNT.EXE
NMAIN.EXE
OUTPOST.EXE
NAVW.EXE
RAV7.EXE
SCAN32.EXE
SERV95.EXE
TBSCAN.EXE
VET95.EXE
VSHWIN32.EXE
ZONEALARM.EXE
AVPMON.EXE
AVP32.EXE
二、修改注册表：
1.创建新键：HKLM\Software\OvG\Avril Lavigne 设置值为"Done"，标志为已经感染系统；
2.登记为开机自启动：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Avril Lavigne - Muse，值为"%SYSTEM%\<随机字符串>.EXE"，即病毒本身。
三、驻留文件系统
将自己隐藏到下列目录，从0-9和A-F中拼凑出随机字符串作为文件名称。
1.%Temporary%\<随机字符串>.tft
2.%System%\<随机字符串>.exe
3.%所有磁盘%\Recycled\<随机字符串>.exe
4.%当前局域网连接的可写目录%<可选文件名>.exe。
可选文件名如下：
Resume.exe
Download.exe
Readme.exe
Singles.exe
Sophos.exe
Sk8erBoi.exe
5.%TEMP%\<随机字符串>.TFT
6.%TEMP%\AVRIL-II.INF
7.释放一个script.ini文件，利用QQ来发送病毒。
四、遍历所有的窗口，如果窗口标题中包含下列字符串，立即杀掉相应进程。
Anti 、AVP、 McAfee、 Norton、 virus、 anti、 Virus。
五、连接网络
如果用户没有连接Internet，病毒试图从注册表的Software\Microsoft\Internet Account Manager\Accounts\Default Mail Account中取得账户和密码，调用系统服务InternetAutodial偷偷登陆网络。
六、发染毒邮件
病毒不仅枚举注册表中的地址薄和邮件服务器，而且还有枚举下列磁盘文件：
.htm、 .tbb、 .shtml、 .nch、 .idx、.dbx、 .mbx、 .wab、 .html .eml，病毒会分析这些文件的内容，提取邮件地址和服务器，发送染毒邮件。
1.标题是下列之一：
Fw: Prohibited customers...
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne - the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
2.附件名称是下列之一，其实是病毒自己：
Resume.exe
Download.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
Singles.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe

3.邮件利用OutLook的IFrame漏洞，使附件自动运行，瞬间感染系统。
4.病毒自带邮件服务器地址:
otto_aw@smtp.ru
otto_avril_ii@smtp.ru
otto_avril@smtp.ru
七、病毒利用QQ传输协议传送病毒体。病毒搜索标题中包含“Send Online File”的窗口。该窗口一般是QQ用来远程传递文件的。病毒把自己的拷贝Resume.exe发送出去。
八、典型发作日期是每月的7、11、24日，用各种颜色在桌面画嵌套的椭圆，在左上角显示一行白底黑字：“AVRIL_LAVIGNE_LET_GO－my muse：Vote for Iam with you”，（具体图形请参看瑞星网站），并连接网站：www.avril-lavigne.com。
2.Worm.Avron.c
破坏方法：此病毒感染安装有Windows 95, Windows 98, Windows Me操作系统的计算机，发作日期为7、11、24日。当病毒启动后，如果发现自己已经驻留系统中，则退出；否则，开辟七个线程，进行疯狂的破坏。但是普通用户却感觉不到。
破坏行径如下：
一、立即杀死下列112个进程（按照病毒搜索顺序排列）：
KPF.EXE
KPFW32.EXE
_AVPM.EXE
AUTODOWN.EXE
AVKSERV.EXE
AVPUPD.EXE
BLACKD.EXE
CFIND.EXE
CLEANER.EXE
ECENGINE.EXE
F-PROT.EXE
FP-WIN.EXE
IAMSERV.EXE
ICLOADNT.EXE
IFACE.EXE
LOOKOUT.EXE
N32SCAN.EXE
NAVW32.EXE
NORMIST.EXE
PADMIN.EXE
PCCWIN98.EXE
RAV7WIN.EXE
SCAN95.EXE
SMC.EXE
TCA.EXE
VETTRAY.EXE
VSSTAT.EXE
ACKWIN32.EXE
AVCONSOL.EXE
AVPNT.EXE
AVPDOS32.EXE
AVSCHED32.EXE
BLACKICE.EXE
EFINET32.EXE
CLEANER3.EXE
ESAFE.EXE
F-PROT95.EXE
FPROT.EXE
IBMASN.EXE
ICMOON.EXE
IOMON98.EXE
LUALL.EXE
NAVAPW32.EXE
NAVWNT.EXE
NUPGRADE.EXE
PAVCL.EXE
PCFWALLICON.EXE
RESCUE.EXE
SCANPM.EXE
SPHINX.EXE
TDS2-98.EXE
VSSCAN40.EXE
WEBSCANX.EXE
WEBSCAN.EXE
ANTI-TROJAN.EXE
AVE32.EXE
AVP.EXE
AVPM.EXE
AVWIN95.EXE
CFIADMIN.EXE
CLAW95.EXE
DVP95.EXE
ESPWATCH.EXE
F-STOPW.EXE
FRW.EXE
IBMAVSP.EXE
ICSUPP95.EXE
JED.EXE
MOOLIVE.EXE
NAVLU32.EXE
NISUM.EXE
NVC95.EXE
NAVSCHED.EXE
PERSFW.EXE
SAFEWEB.EXE
SCRSCAN.EXE
SWEEP95.EXE
TDS2-NT.EXE
VSECOMR.EXE
WFINDV32.EXE
AVPCC.EXE
_AVPCC.EXE
APVXDWIN.EXE
AVGCTRL.EXE
_AVP32.EXE
AVPTC32.EXE
AVWUPD32.EXE
CFIAUDIT.EXE
CLAW95CT.EXE
DV95_O.EXE
DV95.EXE
F-AGNT95.EXE
FINDVIRU.EXE
IAMAPP.EXE
ICLOAD95.EXE
ICSSUPPNT.EXE
LOCKDOWN2000.EXE
MPFTRAY.EXE
NAVNT.EXE
NMAIN.EXE
OUTPOST.EXE
NAVW.EXE
RAV7.EXE
SCAN32.EXE
SERV95.EXE
TBSCAN.EXE
VET95.EXE
VSHWIN32.EXE
ZONEALARM.EXE
AVPMON.EXE
AVP32.EXE
二、修改注册表：
1.创建新键：HKLM\Software\OvG\Avril Lavigne 设置值为"Done"，标志为已经感染系统；
2.登记为开机自启动：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Avril Lavigne - Muse，值为"%SYSTEM%\<随机字符串>.EXE"，即病毒本身。
三、驻留文件系统
将自己隐藏到下列目录，从0-9和A-F中拼凑出随机字符串作为文件名称。
1.%Temporary%\<随机字符串>.tft
2.%System%\<随机字符串>.exe
3.%所有磁盘%\Recycled\<随机字符串>.exe
4.%当前局域网连接的可写目录%<可选文件名>.exe.
可选文件名如下：
Resume.exe
Download.exe
Readme.exe
Singles.exe
Sophos.exe
Sk8erBoi.exe
5.%TEMP%\<随机字符串>.TFT
6.%TEMP%\AVRIL-II.INF
7.释放一个script.ini文件，利用QQ来发送病毒。
四、遍历所有的窗口，如果窗口标题中包含下列字符串，立即杀掉相应进程。
Anti 、AVP、 McAfee、 Norton、 virus、 anti、 Virus。
五、连接网络
如果用户没有连接Internet，病毒试图从注册表的Software\Microsoft\Internet Account Manager\Accounts\Default Mail Account中取得账户和密码，调用系统服务InternetAutodial偷偷登陆网络。
六、发染毒邮件
病毒不仅枚举注册表中的地址薄和邮件服务器，而且还有枚举下列磁盘文件：.htm、 .tbb、 .shtml、 .nch、 .idx、.dbx、 .mbx、 .wab、 .html .eml，病毒会分析这些文件的内容，提取邮件地址和服务器，发送染毒邮件。
1.标题是下列之一：
Fw: Prohibited customers...
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne - the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
2.附件名称是下列之一，其实是病毒自己：
Resume.exe
Download.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
Singles.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe

3.邮件利用OutLook的IFrame漏洞，使附件自动运行，瞬间感染系统。
4.病毒自带邮件服务器地址
otto_aw@smtp.ru
otto_avril_ii@smtp.ru
otto_avril@smtp.ru
七、病毒利用QQ传输协议传送病毒体。病毒搜索标题中包含“Send Online File”的窗口。该窗口一般是QQ用来远程传递文件的。病毒把自己的拷贝Resume.exe发送出去。
八、典型发作日期是每月的7、11、24日，用各种颜色在桌面画嵌套的椭圆，在左上角显示一行白底黑字：“AVRIL_LAVIGNE_LET_GO－my muse：Vote for Iam with you”，（具体图形请参看瑞星网站），并连接网站：www.avril-lavigne.com。
九、安装木马。
下载下列网址的文件:
http://web.host.kz/avril/Bo2k_upx.exe
http://web.host.kz/avril_ii/Bo2k_upx.exe
http://web.host.kz/avril_lavigne/Bo2k_upx.exe
到系统目录，命名为“Bo2k.exe”，写入run项，并立即启动。该文件是个功能强大的后门程序。
下载下列网址的文件
http://web.host.kz/avril/Avril.exe
http://web.host.kz/avril_ii/Avril.exe
http://web.host.kz/avril_lavigne/Avril.exe
到系统目录。
十、查询注册表HKLM\Software\Kazaa\Transfer的路径，如果存在，释放病毒，等待发送。

作者: 强龙 时间: 2003-1-10 22:10
标题: 瑞星15.17.01版紧急升级!!!
另外推荐一款监视注册表的软件 regrun II，我的是2.99汉化版，它能实时的监测注册表的变化，很有帮助的。

欢迎光临无忧启动论坛 (http://bbs.c3.wuyou.net/)