Worm.Shoho.c
病毒别名:I-Worm.Welyah[AVP], W32.Shoho@mm[NAV], W32/Shoho.c@MM, W32/Welyah.C@mm
处理时间:2001-12-20
威胁级别:★★
中文名称:笑哈哈
病毒类型:蠕虫
影响系统:Win9x / WinNT
病毒行为:
该蠕虫病毒通过电子邮件传播,它利用了微软Iframe漏洞,一旦预览或打开带毒邮件,其附件病毒程序README.TXT<随机数量的空格>.pif就会自动运行。附件程序乍一看来好似README.TXT文件,其实它的真正扩展名是.pif(一种32位的PE文件格式)。该蠕虫是用Visual Basic 6编写的。
1.病毒附件被执行后,它会将WINL0G0N.EXE(注意:0是零,并非字母O)文件拷贝至%SystemRoot%及%System%目录下。同时可能在本地系统进行添加或删除文件。
可能删除的文件(Win9x系统)如下:
email.txt
emailinfo.txt
c:WINDOWSDRWATSON
c:WINDOWSDRWATSONFRAME.HTM
c:WINDOWSemail.txt
c:WINDOWSSYSTEMWINL0G0N.EXE
c:WINDOWSWINL0G0N.EXE
可能删除的文件(Win9x系统)如下:
c:WINDOWS1STBOOT.BMP
c:WINDOWSASD.EXE
c:WINDOWSCLEANMGR.EXE
c:WINDOWSCLSPACK.EXE
c:WINDOWSCONTROL.EXE
c:WINDOWSCVTAPLOG.EXE
c:WINDOWSDEFRAG.EXE
c:WINDOWSDOSREP.EXE
c:WINDOWSDRWATSON.EXE
c:WINDOWSDRWATSON
c:WINDOWSDRWATSONFRAME.HTM
c:WINDOWSEMM386.EXE
c:WINDOWSHIMEM.SYS
c:WINDOWSHWINFO.EXE
c:WINDOWSJAUTOEXP.DAT
c:WINDOWSKacheln.bmp
c:WINDOWSKreise.bmp
c:WINDOWSLICENSE.TXT
c:WINDOWSLOGOS.SYS
c:WINDOWSLOGOW.SYS
c:WINDOWSMORICONS.DLL
c:WINDOWSNDDEAPI.DLL
c:WINDOWSNDDENB.DLL
c:WINDOWSNETDET.INI
c:WINDOWSRAMDRIVE.SYS
c:WINDOWSRUNHELP.CAB
c:WINDOWSSCRIPT.DOC
c:WINDOWSSetup.bmp
c:WINDOWSSMARTDRV.EXE
c:WINDOWSStreifen.bmp
c:WINDOWSSUBACK.BIN
c:WINDOWSSUPPORT.TXT
c:WINDOWSTELEPHON.INI
c:WINDOWSW98SETUP.BIN
c:WINDOWSWellen.bmp
c:WINDOWSWIN.COM
c:WINDOWSWIN.INI
c:WINDOWSWINSOCK.DLL
其中添加的emailinfo.txt文件当中包含有准备发往SMTP服务器的邮件,而email.txt是一个MIME文件,它包含编码为WINL0G0N.EXE的Base64及iframe 漏洞。
2.此蠕虫有它自己的SMTP引擎,能够建立SMTP连接。它还会查找硬盘中所有包含邮件地址的文件(如*.eml,*.wab等),一旦找到便会保存在emailinfo.txt文件当中。然后向保存在该文件中的所有地址发送带毒邮件:
主题为“Welcome to Yahoo! Mail”的邮件。
主题: Welcome to Yahoo! Mail
附件: Readme.txt<随机数量的空格>.pif
3.病毒会在注册表中以下子键中:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersionRun
添加如下键值以便使自己能够在系统重启后运行:
"WINL0G0N"="c:windowsWINL0G0N.EXE"
4.当系统重新启动时,WINL0G0N.EXE文件自动执行,并可能导致常规性保护错误,而同时由于一些文件被删,系统可能无法正确启动Windows,这种情况在Win9x上会出现,而在WinNT系统上还未遇到。但在任何系统上,例行的收发邮件可能会不正常。