VBS.Stages.A
病毒名称:VBS.Stages.A
其它名称:生命阶段, VBS/ShellScrap.A
病毒属性:蠕虫病毒 危害性:低危害 流行程度:低
具体介绍:
日前,北京冠群金辰软件有限公司提醒电子商务用户与家庭用户小心新病毒枣“生命阶段”(VBS/Stages病毒)。这是一种新型的基于VBS的电子邮件病毒。它与以往病毒的不同之处在于,它使用Windows碎片文件(Scrap file)拷贝自身代码。
目前在电子商务和家用环境中都已发现该病毒,在最初感染“生命阶段”时,它会生成一个文本文件,讲的是一个关于人随着年龄的增长,对性的兴趣降低的笑话。该病毒会更改不同的Windows和应用程序的设置,导致使用碎片文件和注册表时出现问题。这些更改是可逆的。
“生命阶段”可以通过微软的Outlook感染其它机器,它会变换电子邮件的主题以迷惑用户,并且还将自身直接拷贝到任何它能找到的本地或远程(网络)驱动器上。该病毒使用了多种技术防止计算机用户发现染毒。
VBS/Stages(也叫做VBS/ShellScrap)蠕虫病毒是第一个已知的,利用SHS文件(Shell Scrap文件)传递病毒代码的蠕虫病毒。大部分可疑的字符串已经用技术手段被隐藏起来,该技巧在VBS/Zulu蠕虫家族已经看到过。
如果文件"LIFE_STAGES.TXT.SHS"(蠕虫的实际代码程序)不在Windows启动目录,蠕虫将生成由以下内容组成的"LIFE_STAGES.TXT"文件:
"- The male stages of life:"(男性生命发展过程) "Age. Seduction lines."
"17 My parents are away for the weekend."
"25 My girlfriend is away for the weekend."
"35 My fiancee is away for the weekend."
"48 My wife is away for the weekend."
"66 My second wife is dead."
A
- The female stages of life: (女性生命发展过程)
Age. Favourite fantasy.
。。。。。。
如果蠕虫文件不在启动目录中,蠕虫试图在本地硬盘查找该文件,并将其复制到不同的地方以确保其能驻存在硬盘中。蠕虫还创建包含使自身被激活的"scanreg.vbs"文件。蠕虫修改注册关键字,确保每次系统启动时,"scanreg.vbs"文件将能运行。
下一步,蠕虫试着修改来自本地ICQ(聊天系统)客户端的参数,并修改注册信息以用户查看".SHS" 文件产生混乱。蠕虫病毒活动时,默认的".SHS" 文件图标将与".txt"文件相同,且".SHS"扩展名不会被显示出来。
为阻止用户恢复系统,蠕虫还企图重命名/移动"regedit.exe"文件(注册编辑器),以便象"runservice"注册关键字不能被修改为无效。新的注册编辑器文件名是"recycled.vxd"。
另一个特点是,蠕虫企图将自身复制到所有在Windows启动文件夹中可以连接到的网络映射驱动器中。这个特点只在本地启动目录未找到(上述提及的)驻留文件的情况下存在。依赖的注册关键字是:
"HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionOSName"
VBS/Stages蠕虫还利用Outlook将自身发送给Outlook通讯录地址中的所有人。蠕虫用可变的邮件主题,使探测该病毒非常困难。可能存在的邮件主题是:
"Fw: Life Stages" , "Fw: Funny", "Fw: Jokes", "Fw: Life Stages text", "Fw: Funny text", "Fw: Jokes text", "Life Stages", "Funny", "Jokes", "Life Stages text", "Funny text", "Jokes text"
同样,邮件的内容也包含随意的元素。在邮件被发送后,蠕虫使得邮件不会在“已发送的邮件”文件中出现,且蠕虫会修改以上提及的注册关键字使蠕虫病毒邮件只发送一次。
清除:
kill版本: