(瑞星编译)
[简析]
蠕虫VBS.Merlin.B@mm是一个身兼数“职”病毒,用VBScript编写,兼有乱发邮件、局域网传播、感染word公共模板、修改script.ini文件试图通过IRC感染其他用户、修改Autoexec.bat、删除文件……
简直是无恶不做,看来大家有要忙了^-^!
[病毒报告]
病毒名称:VBS.Merlin.B@mm
别名: VBS.Eva@mm, VBS.Merlin.A@mm
该病毒在被执行后将做如下几项工作:
1、将自身复制到\Windows文件夹中,随机产生文件名。
2、安装SexSells.html文件到C:\Windows文件夹中,该文件是loveletter病毒的一个变种。
3、修改注册表信息使得当打开扩展名为下列的文件后,蠕虫将被运行:
.js 、.doc 、.gif 、.jpg 、.htt 、.bmp 、.avi 、.mpg 、.shs 、.mp3、
4、修改注册表降低计算机的安全级别。
5、通过局域网搜索其他计算机,只要找到将自身复制到这些计算机中。
6、感染word的公共模板Normal.dot。
7、删除收件箱中所有标题为 "Re: Microsoft Security
Bulletin."的邮件。
8、将自身作为HTML格式邮件发送给outlook地址簿中的所有人,邮件内容如下:
**************************************************
Subject: Re: Microsoft Security Bulletin
Message: You need ActiveX enabled if you want to see this e-mail. Please open
this message again and click accept ActiveX. Microsoft
**************************************************
9、修改Script.ini的内容,并试图通过mIRC进行传播。
10、在染毒机器中搜索下列文件并根据不同的文件类型做不同的处理:
扩展名为 .vbs, .vbe, or .wsh的文件,蠕虫将覆盖该文件。
扩展名为.htm or .html, 蠕虫用SexSells.html覆盖这些文件。
扩展名为 .jpg or .mp3, 蠕虫删除这些文件。
扩展名为.exe, .xls, or .com, 蠕虫覆盖文件并添加.vbs扩展名。
11、在C盘根下创建2500个随机顽健夹,每个顽健夹中包含一个文本文件。
12、Office 助手"Merlin"出现并显示"Everybody need
somebody! That's why I love you!"
13、删除Regedit.exe(注册表)
14、在染毒三天之后,蠕虫删除下列文件:
C:\Windows\User.dat
C:\Windows\User.bak
C:\Windows\System.dat
C:\Windows\System.bak
C:\Windows\Regedit.exe
15、修改Autoexec.bat 文件,在系统下次启动后,删除C盘的所有内容。
16、在每月的第二天。试图删除注册表,下载并执行文件Cih.exe,该文件被保存在C:\Windows\System\Cih.exe。
17、修改下列注册表:
HKEY_CLASSES_ROOT\.JS\
HKEY_CLASSES_ROOT\.DOC\
HKEY_CLASSES_ROOT\.GIF\
HKEY_CLASSES_ROOT\.JPG\
HKEY_CLASSES_ROOT\.HTT\
HKEY_CLASSES_ROOT\.BMP\
HKEY_CLASSES_ROOT\.AVI\
HKEY_CLASSES_ROOT\.MPG\
HKEY_CLASSES_ROOT\.SHS\
HKEY_CLASSES_ROOT\.MP3\
HKEY_CLASSES_ROOT\VBSFile\Editflags
HKEY_CURRENT_USER\Software\Microsoft\
Windows Script Host\Settings\Remote
HKEY_CURRENT_USER\Software\Microsoft\
Windows Script Host\Settings\Timeout
HKEY_CURRENT_USER\Software\Microsoft\
Windows Script Host\Settings\Enabled
HKEY_CURRENT_USER\Software\Microsoft\
Windows Script Host\Settings\TrustPolicy
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RegisteredOwner
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\Zones\0\1200
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\Zones\0\1201
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\Zones\0\1004
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\1\1200
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\1\1201
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\1\1204
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\Zones\3\1200
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\Zones\3\1201
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\Zones\3\1004
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\Explorer\NoDesktop
HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\CurrentVersion\Run
您的位置: