|
网络蠕虫程序I-Worm/Welyah
的清除
|
|
北京江民新科技术有限公司病毒快速反应小组最新捕获新的网络蠕虫程序:I-Worm/Welyah, 该病毒使用的是Visual
B编写的,该网络蠕虫程序与其他的网络蠕虫一样,是通过利用微软的Outlook邮件客户端程序的漏洞 我们知道微软的OUTLOOK邮件客户端程序*.wab和*.mbx程序文件中存放着一些电子邮件地址信息,另外的邮件程序还有以下的一些文件扩展名称:EML、DBX、XLS、XLT、MDB等。该网络蠕虫程序正是通过搜索这些文件来获得传播该网络蠕虫程序自身的电子邮件程序,而且该网络蠕虫不使用OUTLOOK程序设置的SMTP(发送邮件服务器)来发送邮件,而是使用自身的SMTP引擎来发送EMAIL带病毒信件。 SMTP的邮件地址是210.177.111.***, 域名是:mail.*****speed.com.hk。 含有病毒的邮件的附件是一个TXT纯文本文件,扩展名称还含有pif。 当该网络蠕虫被自动执行后,它将自身拷贝到WINDOWS的目录下,文件名称是Winlogon.exe,并且修改系统的注册表项目,使得每次系统启动时,该网络蠕虫程序都会被执行。修改的注册表的键值是: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Winlogon] 除了文件Winlogon.exe外,它还会在当前目录下释放文件EMAIL.TXT以及EMAILINFO.TXT文件,这两个文件的内容是:EMAIL.TXT文件是病毒程序本身;EMAILINFO.TXT文件是邮件感染的地址列表。 该网络蠕虫利用的微软的MIME漏洞是: http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp 在IE5.01、IE5.5以及IE6下的补丁程序分别是如下的下载地址: http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp http://www.microsoft.com/windows/ie/downloads/ie6/default.asp 该网络蠕虫有变种,该网络蠕虫程序还有破坏性,驻留内存,发送带病毒邮件直接通过SMTP命令来发送,通过的是电子邮件来发送:含有病毒的信件的格式如下: 信件的主题是:Welcome to Yahoo!Mail 信件的内容是:Welcome to Yahoo!Mail 信件的附件文件名称是:README.TXT______________.PIF 值得一提的是,这个网络蠕虫程序的附件文件名称:README.TXT______________.PIF 比较有特点是这个附件的两个扩展名称TXT和PIF之间的空格长达125个空格,一般的用户会误认为没有PIF这个扩展名称。该网络蠕虫程序的破坏性表现在会随机删除当前目录下的文件。由于网络蠕虫将该病毒文件存放在WINDOWS的目录下,因此会随机删除WINDOWS下的系统文件,病毒修改的注册表键值如下: (1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run删除键数值:WINLOGON.EXE 其数值是:Windows\WINLOGON.EXE (2)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run删除键数值:WINLOGON.EXE 其数值是:Windows\WINLOGON.EXE (3)HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run删除键数值:WINLOGON.EXE 其数值是:Windows\WINLOGON.EXE 内置的EXE文件不会在MICROSOFT OUTLOOK中看出来,附件的文件的类型是:audio/x-wav(声音文件),如果您不打补丁的话,当使用OE打开邮件时候,通常默认的应用程序Windows
Media Player(媒体播放器)会自动将该文件打开。该网络蠕虫程序使用一个FTP服务器ftphd.pchome.com.tw并且使用内置的用户名称或者密码, 请广大KV3000用户升级到最新版来防杀该病毒.
|