该病毒基本分为两部分:第一部分是狭义上的病毒,它感染PE结构文件,病毒大小约为3K,用汇编语言编写。第二部分是蠕虫,大小为56K,它在运行中会释放并运行一个11722字节的带毒的PE文件。第二部分是用VC++编写的,它只可以在WINDOWS 9X或WINDOWS2000上运行,在NT4上无法运行。
它的传播方式有四种:
第一种:通过INTERNET邮件,它搜索当前用户的地址簿文件中的类邮件地址的文本内容,或随机计算邮件地址,通过WINDOWS的SOCKET函数集用SMTP服务器发送自己这个带毒木马,邮件文件是由木马部分形成,并且该邮件会在OUTLOOK EXPRESS下自动执行,它的主题是随机的,但以下几种情况:
Hi
Hello
How are you?
Can you help me?
We want peace.
Where will you go?
Congratulations!!!
Don't cry.
Look at the pretty.
Some advice on your shortcoming.
Free XXX Pictures.
A free hot porn site.
Why don't reply to me?
How about have dinner with me together?
信的正文为:
I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?..Don't call my names,I have no hostility.
Can you help me?
第二种:通过网络邻居,它搜索所有的网络连接,查找共享目录,将自己的文件放到享目录中,并试图让远程计算机将它作为一个服务启动。
第三种:通过磁盘传播,它创建专门的线程感染磁盘,如果当前日期奇数月的13号,将找到的文件内容进行复制。
第四种:病毒感染。
病毒部分的运行过程:
1.解密后面的代码长度258k字节
2.然后病毒在内存中查找KERNEL32模块,并根据名字的检验字找到一大批函数入口,这些函数供
后面的代码调用。
3.申请内存,将所有代码拷贝到申请的内存中,并转申请的内存执行。
4.查检有无调试程序(调IsDebugPresent函数),如在调试程序下运行,终止病毒代码,返回到
原宿主程序(如果是配套的木马,则返回到操作系统)。
5.启动感染代码,如未在调试程序下运行,在SYSTEM(由GetSystemDirectory)目录感染或
建立WQK.EXE(WIN9X下)或WQK.DLL(NT下)。
6.将当前进程注册为服务进程。
7.创建感染线程,根据系统时间,如果为13号且为3月或9月,感染所有硬盘或网络盘文件。否则
感染系统目录。某些条件下创始的感染线程会启动另一个感染线程,直到系统崩溃。
8.如果是NT操作系统,同时感染所有网络邻居。
9.返回宿主或操作系统。
木马部分运行过程:
1.解码所有字符串。
2.改变当前进程访问权限。
3.启动线程1,作用如下:检查当前所有进程,如果有以下进程(部分匹配),则终止这些进程:
_AVP32, _AVPCC, _AVPPM, ALERTSVC,AMON,AVP32,AVPCC,AVPM,
N32SCANW,NAVAPSVC,NAVAPW32,NAVLU32,NAVRUNR,NAVW32,NAVWNT,NDD32,
NPSSVC,NRESQ32,NSCHED32,NSCHEDNT,NSPLUGIN,SCAN,SMSS
如果是WINDOWS9X系统,将当前程序设为自动启动
(Software\Microsoft\Windows\CurrentVersion\Run)线程永不终止。
4.启动线程2,作用如下:复制自己,运行后删除,然后线程终止。
5.在系统目录中创建KRNL32.EXE,
如果是9X,运行它,并将它放入 Software\Microsoft\Windows\CurrentVersion\Run 中自动运行。
如果是2000系统,将它作为Service启动。
6.创建线程3,发送EMAIL。
创建线程4,感染网络所有共享文件,每8小搜索一次。
创建线程5,搜索磁盘文件。
创建线程6,检查当前日期是否为奇数月的13号,如是,将所有文件复制一次,线程5小时运行
一次,永不退出。
解决方法,本病毒无法手工杀毒,只能升级杀毒软件。
