告诉您的位置:首页 > 病毒专栏 > 病毒档案 > 正文 |
 |
| 始皇帝(VBS.Casechange.A)病毒技术分析文档 |
| 2003年02月21日10:45:20 金山反病毒资讯网 |
[an error occurred while processing this directive]
病毒名称:VBS.Casechange.A
病毒类型:VBS蠕虫
传播方式:该蠕虫通过Email,IRC以及文件共享方式进行传播。
病毒简介:该蠕虫发送的电子邮件有如下几种组合的可能:
组合一、
主题:Fit to be King?
正文:Are you fit to be King? Read this file to find out :)
附件名称:Survey.vbs
组合二:
主题:Sent file
正文:Hello,
Here is the file that you asked for yesterday.
附件名称:File1.vbs
组合三:
主题:Wanted file
正文:Hello readers,
This is the file that a lot of people have been asking for. I will only send this file once, So please don’t ask for this file again.
附件名称:Important.vbs
组合四:
主题:The sample
正文:Here is that sample that you asked for. Please email me back and tell me what you think :)
附件名称:Sample.vbs
收到的感染病毒的邮件如下图:
不过在有些时候,附件名称可能并不确定为以上的几种组合,在一些情况下,该蠕虫会主动变更附件的文件名称,使用小写字母”a”~”z”进行随机组合1到9个字母的文件名。比如:feiaksd.vbs或者dije.vbs等等.
蠕虫运行后,会将自身拷贝在系统中不同的几个位置,而且每次拷贝时都会随即变更病毒体内的代码的大小写,以使各个病毒体都各自不同,但每个病毒拷贝执行的作用都是一模一样的。
具体的执行流程:首先病毒将会将自身拷贝至system目录的MSUpdt32.vbs并且在注册表项HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run中添加键值MSUpdt32,键值数据为”Wscript.exe %system%MSUpdt32.vbs %1”紧接着该病毒将会将自己复制成为如下几个文件,每个文件的具体存放位置,该蠕虫将随机挑选Windows目录或者Windows的System目录MSUpdtc32.vbs、WUnstc32.vbs、WSrvc32.vbs、MSinet32.vbs、Wininet.vbs、Setupmgr.vbs、Instmgr.vbs、Ocxmgr32.vbs、Cabfldr32.vbs并且,病毒还会用自身代码替换如下目录中的任何vbs以及vbe扩展名的文件%Program Files%limewireshared
%Program Files%gnucleusdownloads
%Program Files%gnucleusdownloadsincoming
%Program Files%shareazadownloads
c:my documentsmy music
c:my music
c:mymusic c:kazaamy shared folder c:my downloads [未结束]
|
| [1] [2] 【】 |
|
[an error occurred while processing this directive]
|
