computer 版 (精华区)

发信人: neverbw (汇编汇编我爱你！), 信区: network
标  题: 继尼姆达后 又一危险的新蠕虫Vote病毒
发信站: 听涛站 (2001年11月01日12:37:46 星期四), 站内信件

这一蠕虫名为W32.Vote或WTC.exe，一旦人们打开它，它会清除所有PC系统文件，并覆写
所有HTML文件，替换为用心险恶的消息“AmeRiCa ...Few Days WiLL Show You What W
e Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You.”
　　防病毒公司趋势的发言人Susan Orbuch说：“它非常危险，希望人们不要受到感染
。”然而不幸的是，已有一些PC用户感染了此种病毒，安全软件公司赛门铁克及Networ
k Associates已收到了众多受W32.Vote感染的报告。Network Associates防病毒紧急反
应小组主任Vincent Gullotto说：“我们已取得一些抽样。”
　　上周，FBI曾警告说，公众应当小心病毒作者会利用人们对近期恐怖事件袭击的兴趣
展开恶意攻击。W32.Vote明显是首个此类流行开来的病毒。W32.Vote表面看来是一封很
有同情心的邮件。受感染的电子邮件标题为“Fwd: Peace BeTween AmeriCa And IsLam
 ! ”，邮件正文为“Hi! iS iT A waR Against AmeriCa Or IsLam! Let's Vote To L
ive in Peace!”。如果使用Microsoft Windows 95、98、Me或2000PC用户打开附件“w
tc.exeIf” ，这种蠕虫将会被执行。
　　当它被激活后，蠕虫会首先尝试将自己发送给微软Outlook地址簿的每个地址上。然
后，蠕虫会在计算机上保存两个Visual Basic程序文件：MixDaLaL.vbs和ZaCker.vbs。
蠕虫还会试图下载并运行可以为入侵者利用的后门程序。然后，蠕虫会从Windows Syst
em文件夹中执行MixDaLaL.vbs，MixDaLaL.vbs扫描硬盘找到所有扩展名为.htm和.html的
文件。当文件找到后，蠕虫会用以上的恶意消息覆写它们。
　　蠕虫的另一个组件ZaCker.vbs则会在计算机重新启动后运行。脚本会试图删除所有
Windows目录下的文件，并使用格式主硬盘时用来启动计算机的命令覆写它们。因为必要
的系统文件被破坏，最后的攻击将会失败，但是其它的攻击足以导致PC无法重新启动。
在最后一次关闭前，蠕虫会显示如下信息： “I promises We WiLL Rule The Wold Ag
ain...By The Way,You Are Captured By ZaCker !!!”尽管蠕虫会导致受感染PC用户重
新安装操作系统， Network Associates的 Gullotto说，大多数企业仍然是安全的。
Win32/Vote.A.Worm
　　Vote是一种通过邮件，利用MAPI和Microsoft Outlook地址簿来进行传播的新型蠕虫
。
邮件主题： Fwd:Peace BeTweeN AmeriCa And IsLaM !s
邮件内容：Hi iS iT A waR Against AmeriCa Or IsLaM !?
　　　　　　Let's Vote To Live in Peace!
附件: WTC.exe
　　蠕虫然后以某些特定的URL来打开两个Microsoft Internet Explorer 应用，这些U
RL地址指向含有恶意内容的WEB站点。
　　蠕虫在Windows和System目录下生成两个VBS木马文件。 第一个木马文件 C:\Windo
ws\MixDaLaL.vbs, 尝试覆盖本地和网络驱动器的所有HTML/HTM 文件。第二个木马文件
C:\Windows\System\ZaCker.vbs ,尝试删除Windows目录下的所有文件。然后它修改aut
oexec.bat 文件，以使机器在下次启动时，格式化C:盘。这不会成功，但如下消息框会
弹出：
　　然后，蠕虫尝试重启Windows,但这也会失败，因为蠕虫已从Windows目录删除了RUN
DLL32.EXE
　　蠕虫修改以下两处注册表：
HKLM\Software\Windows\CurrentVersion\Run\Norton.Thar = "C:\Windows\System\Za
Cker.vbs"
HKCU\software\microsoft\internet Explorer\main\
start Page = "http: //us.f1.yahoofs.com/users/da36d538/bc/
TimeUpdate.exe?bcaVq97ATaW0yAxk"
Win32/Vote.A.Worm的检测与清除：
　　 所有被检测到感染有Win32/Vote.A.Worm蠕虫的文件必须被删除，这可以通过手工
方式或通过杀毒软件删除这些文件。

--
   
       欢迎访问   ftp://neverbw.dhs.org
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]