(瑞星编译)
[编者简析]
蠕虫VBS.Potok@mm是一个简单的VBS蠕虫,通过outlook(前50个地址)向外散播,这点与早期的蠕虫“大家”们有相似之处,但不同的是,该蠕虫利用了winnt/2000中的一个鲜为人知的特性:文件流(file
stream)。
这样,蠕虫以四个数据流方式保存(mail
stream, user stream, main stream, group stream),从名称中可以看出每部分都分工明确。
除了发邮件外,该蠕虫还有高人一筹之处,它可以对winnt/2000系统添加一个新用户帐号,而且将其加入管理员组(Administrator),厉害吧,这样该蠕虫利用此帐号就可以任意作为了……
[病毒资料]
病毒名称:VBS.Potok@mm
别名: Bloodhound.VBS.Worm, VBS.Potok.A, VBS.Stream.A, VBS/Stream, VBS/Vdrive@MM,
VBS/Potok@MM
大小:9262 字节
蠕虫VBS.Potok@mm利用了winnt/2000的一个很少知道的特性:文件流(stream)。在winnt/2000环境中,一个文件可以包含多个数据流。这点有些类似压缩文件,包含多个文件。每个数据流都可以做为一个独立的文件被访问。在运行win98/95/Me的操作系统中且文件分区为FAT/FAT32格式,文件流不存在,因此该蠕虫也无法运行进而也就无法在系统中添加新的用户。
该蠕虫包含四个数据流:mail stream, user stream, main
stream, group stream。
各部分的功能如下:
mail stream:将蠕虫发送给outlook地址簿中的前50个地址。
邮件内容:
*********************************************************************
主题: New Generation of drivers.
附件名称: driver.doc .vbs (文件名中包含46个空格)
附件大小:9262字节
*********************************************************************
user stream:在系统中创建一个新的用户帐号。
main stream:访问这个新建的用户帐号。
group stream:将新用户帐号添加到Administrator
组(译者注:管理员组拥有最大的管理权限)蠕虫在\Windows目录中创建文件Odbc.ini,并将这四部分加入该文件中。同时还安装两个脚本蠕虫\System32\Ras\Notepad.vbs,\System32\Go.vbs。
您的位置: