computer 版 (精华区)

发信人: neverbw (一切随缘), 信区: network
标  题: W32.Gokar.A@mm病毒分析并谈怎样看待病毒
发信站: 听涛站 (2001年12月20日22:59:40 星期四), 站内信件

本月13日又有一款具有较大威胁性的新病毒W32.Gokar.A@mm出现，这几天很多媒体特别
是网络媒体都提到这款病毒的出现，用诸如：《新病毒“Gokar”传播 大公司网络染上
可能瘫痪》这样的标题。现在，我们就来具体分析这款病毒，看是否真的具有那样大的
危害性。
一、病毒传播方式与危害
　　这款病毒有三种传播方式：
　　1、通过OutLook或者OutLook Express传播；
　　这时我们很熟悉的了，就是感染病毒以后，自动将病毒自身发给OutLook中所有好友
列表的用户。
　　2、通过mIRC传播；
　　这个其实也是老的传播方式了，但是还只有较少的病毒使用。前几天出现的“将死
者”（Goner）病毒就是利用了这种方式传播。在感染病毒以后，病毒会查找系统是否有
“C:\Mirc”这个目录，如果有，将在该目录创建Script.ini文件并在mIRC运行的时候通
过改软件传播。
　　3、通过网页传播；
　　感染病毒以后，病毒会自动查找系统是否具有“C:\inetpub\wwwroot”这个文件夹
，如果有，病毒拷贝自身到该文件夹并且改自己为文件名：“web.exe”，然后病毒改该
目录下的文件Default.htm为Redesi.htm并创建一个新的Default.htm文件。在用法访问
此文件的时候，会看到“We Are Forever”字样并询问是否下载“web.exe”文件。如果
用户同意下载并且运行了此程序，也就感染了病毒。
　　通过以上传播方式的分析，我们不难发现病毒的特征：
　　1、传播方式向它的前辈学习，可以说是综合了前辈们的优点；因为我们很容易就可
以联想到通过OutLook和mIRC传播的“将死者”病毒和通过网页传播的“尼姆达”病毒。

　　2、具有较大的破坏性；可能对于一个一般用户而言，这款病毒没有太多实际意义上
的危害，即使中了此病毒，其实也没有什么太大的损失；但是，对于网站来说，这款病
毒就有一定的危害性。
　　我们知道，微软的Web服务器IIS默认建立了“C:\inetpub\wwwroot”作为网页存放
目录，同时，系统默认“Default.htm”为网站的首页，所以，病毒在修改Default.htm
以后，不但为给服务器的正常访问造成困难，而且，还将危害到访问者的安全，或许，
网站就成为了病毒的传播者。所以，使用IIS的用户应该注意注意到这一点，最好将网站
首页改为别的页面或者甚至将网站存放目录改为别的目录。不过有一点我们可以相信，
因为今年红色代码、蓝色代码、尼姆达等病毒的关系，微软的IIS实际上已经得到了微软
自身和用户的特别关注，所以，修改网页存放目录这一基本的安全措施应该绝大部分用
户已经做到，我们没有必要太惊惶。
二、病毒分析
　　我们将从几个方面分析这款病毒：
　一）邮件主题
　　当病毒通过邮件传播的时候，一般会取一个比较“一般”的主题，这样一不小心就
会认为是朋友的来信。当然，也有一些是很“特殊”的，比如“求职”等。和刚出现时
候的通过邮件传播的病毒不同，现在大部分的病毒都不会采用单个邮件主题，而是提供
多个主题，发送邮件的时候随机从这些主题里面取一个，这样，即使用户知道该病毒，
在收发邮件的时候也非常小心，但是，仍然会在不经意之间中招。
　　W32.Gokar.A@mm发送邮件时从以下几个主题中随机选择：
　　·If I were God and didn't belive in myself would it be blasphemy
　　·The A-Team VS KnightRider ... who would win ?
　　·Just one kiss, will make it better. just one kiss, and we will be alri
ght.
　　·I can't help this longing, comfort me.
　　·And I miss you most of all, my darling ...
　　·... When autumn leaves start to fall
　　·It's dark in here, you can feel it all around. The underground.
　　·I will always be with you sometimes black sometimes white ...
　　·.. and there's no need to be scared, you re always on my mind.
　　·You just take a giant step, one step higher.
　　·The air will hold you if you try, trust my wings of desire. Glory, Glo
rified.......
　　如果仔细看看上面的主题，我们发现真的很吸引人，有的是名言、有的是体育方面
的，而且语言看上去很随意，很想一般朋友来信。不过我国大部分的用户由于母语的关
系，可能对这一类的信件会留一个心眼，中招的机会不会很大。
　二）邮件内容
　　邮件内容也是比较重要的，因为要吸引用户打开邮件附件，这样病毒才会感染（有
些不需要打开附件就可以，那是特例）。这款病毒的主题也是从一系列语句中随机抽取
：
　　·Happy Birthday
　　·Yeah ok, so it's not yours it's mine :)
　　·The horizons lean forward, offering us space to place new steps of cha
nge.
　　·I like this calm, moments before the storm
　　·Darling, when did you fall..when was it over ?
　　·Will you meet me .... and we'll fly away ?!
　　·You should like this, it could have been made for you
　　·speak to you later
　　·They say love is blind ... well, the attachment probably proves it.
　　·Pretty good either way though, isn't it ?
　　·still cause for a celebration though, check out the details I attached

　　·This made me laugh
　　·Got some more stuff to tell you later but I can't stop right now
　　·so I'll email you later or give you a ring if thats ok ?!
　　·Speak to you later
　　这些信件内容都是直接或者间接的引诱用户打开附件，比较有意思的是，病毒会在
每一封邮件的信件内容最后加上感染病毒的邮箱用户的名字，这样看上去会更加真实一
些。
三）邮件附件
　　在伪装方面，这款病毒做的真是很不错，不但主题、信件内容随机，连附件名也是
随机的。我们来看看：附件名由两部分组成，一是随机的一个数字，二是以下字符串的
随机组合：
tgfdfg jhfxvc cgfd2 trevc t6tr ffdasf glkfh fhjdv qesac kujzv weafs twat rew
fd gfdsf hgbv fdsc p0olik 3tgf rf43dr t54refd ut545a r4354gkjw vgrewu xw54re
 y343rv z3vdf
　　文件名已经随机了，文件类型也是随机的，从以下几种类型中选择：.pif、.scr、
.exe、.com、.bat
　　我们考虑一下，有以上三部分组成的一个邮件，我们是不是可以很快就能区别是否
感染病毒？可能比较困难，因为我们不可能每一个邮件去对照，所以，接到了邮件以后
，小心谨慎是必要的。
　四）破坏方法
　　在感染病毒以后，病毒会将自己拷贝到系统的Windows目录，同时，将自己改名为：
karen.exe。为了保证自己随系统启动的时候直接运行，病毒会修改注册表以下键值：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　这样就将自己加入到启动菜单。
　　同时，病毒会查找是否有mIRC运行，如果有，常识通过改程序传播；为了通过网页
传播自己，病毒会修改微软IIS服务器的默认主页，并询问用户是否下载改名以后的病毒
自身。
　五）检测与清除
　　这款病毒检测比较简单，直接看C盘的Windows目录是否有karen.exe文件，如果有，
那就是中了病毒。清除方法是将该文件删除，并且修改相应注册表键值；然后，修改II
S的默认主页，删除IIS默认目录下的web.exe文件。
三、怎样看待病毒
　　通过以上病毒的分析，我们现在已经很清楚：其实这款病毒虽然厉害，但是还是不
可能有“尼姆达”那样的大的破坏性。回头看看现在网上出现的关于此病毒的介绍：“
大公司网络染上可能瘫痪”“疯狂蔓延”。我们知道，这些基本是不属实的，现在这个
病毒既不能“让网络瘫痪”，也不能“疯狂蔓延”，因为我们找不到它可以让网络瘫痪
的技术原因，更加找不到“疯狂蔓延”的途径。那么，为什么会有这样的报道呢？只有
一个原因，谁可以得到最大的好处谁就会去做。
　　所以，当网络上出现病毒公告的时候，我们没有必要太认真，我们完全可以等负责
任的网站（比如：yesky.com、ccw.com.cn、ccid.com.cn等）发布详细的病毒分析后再
去决定自己该采取怎样的应对措施。对于个人用户，更加没有必要太惊惶，被网络牵着
鼻子走，以为到处是病毒。所以，我们在这里提议，企业用户特别是重点企业的用户，
应该安全管理员自己去了解病毒的信息而不是只看看网站的病毒公告，最好去权威的网
站看病毒分析以后再做相应的措施。而对于一般个人用户，更加没有必要太惊惶，因为
真的被这些病毒感染的机会是很少的。那些具有特大破坏性的病毒，我们的政府机关会
在适当地时候提醒大家防范病毒，比如今年的尼姆达病毒，公安部就专门提醒全国用户
注意。
　　而我们的网络媒体特别是专业的IT网站，也应该真正的为自己的用户着想，发布信
息的时候适当甄别，以免给网络造成不信任气氛，也给网站带来不好的影响。

--
         当爱情不再完美
         我宁愿选择无悔
        不管来生多么美丽
    我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]