Worm/Torvil.c

I-Worm/Torvil.c

病毒长度：65,536 bytes

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me/2003

I-Worm/Torvil.c是一个群发邮件的蠕虫病毒，是用Delphi语言编写的经过ASPack的压缩。它利用可用的MAPI或者自身的SMTP引擎传播自身。也可以通过网络共享进行传播，还能通过KaZaA和Xolox等文件共享程序以及ICQ和mIRC聊天软件进行传播。

传播过程及特征：

1.显示一个假信息，提示是否安装微软的RPC补丁程序。

2.复制自身为：

%Windir%schost.exe

%Windir%<name>.exe

注：<name>通常是以spool或者SMSS后面加上随机字符串

3.反复打开和关闭一个命令窗口，窗口的标题是<name>.exe，内容为:<当前系统日期和时间> xExec %Windir%<name>.exe。

4.生成文件：C:Torvil.log --- 记录文件且不包含病毒代码

5.修改注册表：

在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加键值："Service Host"="%Windir%<name>.exe"

在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon下添加键值："Shell"="Explorer.exe %Windir%<name>.exe"

在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionexplorerAdvanced下创建OneLevelDeeperTorvilDB子键，并添加键值："TORVIL"="<name>.exe"

6.终止一些反病毒软件的进程。

7.利用内置的的密码库尝试与C$, IPC$,和$Admin共享进行连接，如果成功，便将病毒文件Remainder.exe复制到其下。

8.查找KaZaA和Xolox的共享文件夹以及ICQ的下载文件夹的，将下列文件复制到该目录下：

NetObjects Fusion v7.5

Macromedia Studio MX 2004 AllApps

BearShare Pro 4.3.0

Borland C++ BuilderX 1.0 Enterprise Edition

Microsoft Office System Professional V2003

Halo FLT

Nero Burning ROM v6.0.0.19 Ultra Edition

TVTool v8.31

NHL 2004

Norton SystemWorks 2004

McAfee Personal Firewall Plus 2004

iMesh 4.2 Ad Remover

Norton AntiVirus 2004

Norton Antispam 2004

Sophos AntiVirus v3.74

Macromedia Contribute 2

McAfee VirusScan Home Edition 2004

McAfee SpamKiller 2004

13.尝试修改mIRC.ini脚本文件，以通过mIRC将自身发送给其它的mIRC用户，使其感染。

14.从Outlook地址薄以及MAPI的收件箱中查找Mail地址，利用可用的MAPI或者自身的SMTP引擎传播自身。邮件的主题、正文及附件都不一定。

注：%Windir%为变量，一般为C:Windows 或 C:Winnt；

%Program Files%一般为C:Program Files；

%System%为变量，一般为C:WindowsSystem (Windows 95/98/Me),

C:WinntSystem32 (Windows NT/2000), 或

C:WindowsSystem32 (Windows XP)。