您的位置:主页 >>  病毒信息 >>  网络病毒专科
 

蠕虫W32.Alcarys@mm简介

 

 (瑞星编译)


病毒名称:Alcarys
病毒别名:I-Worm.Alcaul, W32/Alcarys@mm, W32.Alcarys@mm, Alcaul

    Alcarys蠕虫病毒是用Visual Basic编写成的蠕虫病毒,病毒的可执行部分使用UPX压缩。

    已发现变种: Alcarys.A,Alcarys.B


    蠕虫会在桌面上创建一个名为“ free XXX Passwords.lnk  ”的快捷方式,该快捷方式指向c盘下的xxxpasswords.doc文件。蠕虫还会在桌面上建立一个名为“mailme.url”的快捷方式,当点击这个快捷方
式时,会给病毒作者的邮件地址alcopaul@cannabismail.com发送email。


    蠕虫在C盘下创建一个文件名为v.vbs的文件,试图从特定站点上下载并运行update.exe文件,病毒在
c盘下建立dnserror1.html文件,其中含有“ Hello... Click here to start... ”,“here”被链接到c:\windows\system\inet.exe文件。


    蠕虫会将自己拷贝成下列的名字:


    c:\windows\system\inet.exe
    c:\windows\cmd.com
    c:\syra.scr
    c:\windows\system\tmp.tmp
    c:\SexSound.exe
    c:\windows\opme.co_
    c:\autorun.com
    a:\moans.exe
    c:\www.EcstasyRUs.com
    f:\pussy.scr


    蠕虫在C盘下建立readme.txt,其中包含下列文本:

                 A Collection Of Haiku
                  ------------------
                 Dried marijuana...
                 And my grandfather's old pipe...
                 Tears in my red eyes...
                  -----------------
                 Condoms in the bag...
                 A lustful stare from your eyes...
                 In the girl's rest room...
                  ------------------

    蠕虫会寻找包含下列文本的窗口并将它们关闭(主要是一些反病毒软件):

                 PC-cillin 2000 : Virus Alert
                 JavaScan
                 DAPDownloadManager
                 Real-time Scan
                 Pop3trap
                 AVP Monitor
                 IOMON98
                 NAI_VS_STAT

    蠕虫会生成v.reg文件并将其导入注册表,从而更改Microsoft Word的安全设置,并添加如下注册键:

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\*inet]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce\*cmd]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*autorun]

    这样,蠕虫在每次系统启动后都会自动加载。

    蠕虫还会将windows的注册信息更改为:

                  RegisteredOwner = 'alcopaul.ph'
                  ProductName = 'syra, the worm'

    如果被蠕虫感染的系统中安装有mIRC客户端,蠕虫会在c:\mirc\下建立script.ini文件,把c:\windows\opme.co_文件发给所有人。蠕虫会发送下列文本信息之一:


    Hello.. Do you wanna be an operator of this channel? Here's a software from mIRCx..
First, you'll have to convert it to a .com file then run it and become a channel operator instantly...

    Be a channel operator using this software from mIRCx...
First, you'll have to convert it to a .com file then run it and become a channel operator instantly...

    蠕虫会将自己通过电子邮件的形式发送到outlook地址簿上的所有地址。

    主题:sounds of sex and other stuffs
    消息主体:
    ....Hear me and my girlfriend moan...We spent yesterday's night having sex...
I've also included a list of haiku, a cool talking screensaver and a link to a site
offering cheap ecstasy pills.. enjoy..
    附件:sexsounds.wav (sexsound.exe文件)
          haiku for you (readme.txt文件)
          http://www.EcstasyRUs.com (www.EcstasyRUs.com文件)
          the cool talking screensaver (syra.scr文件)

    随后蠕虫会在C盘下建立alcopaul.html文件,其中包含有文本“Infected by Syra”,并且显示一个
消息框:
                    w32.hllp.syra.b by alcopaul
    you've been hit by, you've been struck by the smooth criminal, AW!


    蠕虫会用dnserror1.html文件内容覆盖所有的.htm和.html文件,并用病毒文件覆盖除COMMAND.COM和WIN.COM以外的所有.com和.scr文件。

    蠕虫试图破坏下列文件:

                    avpm.exe
                    _avpm.exe
                    avp32.exe
                    _avp32.exe
                    vshwin32.exe