病毒预警：9.18可能爆发激进病毒“秋天的童话”

kanazi

　金山反病毒应急中心于9月1日最新载获一恶意蠕虫病毒，命名为“秋天的童话”（Worm.Pereban，别名：秋天的故事 I-Worm/AutuFairy）。蠕虫病毒似乎以纪念9.18事变为目的，采用发送病毒邮件的方式进行传播。病毒长度118784，使用VB编写，文件特征看起来更像PIC图像文件，它会搜索OE的联系人来发送病毒邮件。其传播速度一般但危害等级为★★★★。

　　据金山反病毒工程师介绍：该蠕虫用“秋天的童话”做为邮件主题，邮件内容为：“曾经有一份真诚的爱情摆在我面前,可是我没有去珍惜......”，附件既为病毒体。会尝试格试化硬盘，或使用计算机不能正尝启动。会尝试使用指定的内容覆盖所有的asp、shtml、htm、html文件，造成计算机数据的丢失。病毒体内含有一些比较激进的政治言论。

　　中毒之后的现象主要为以下几种：

　　1、在C:\Windows\System\下生成 %ff.exe、(未设键值).exe文件。在C:\Windows\Temporary Internet Files目录下生成Islov .jpg.exe

　　2、添加 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

　　@="(未设置键值)"

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

　　@="%ff"

　　修改：

　　[HKEY_CLASSES_ROOT\inifile\shell\open\command]

　　@="C:\\WINDOWS\\Temporary Internet Files\\Myphoto?.jpg.exe %1"

　　注意该病毒不是向启动项RUN里添加键值，而是修改RUN项的默认值来达到自启动的目的。

　　3、病毒会发送带毒邮件给OE中的联系人。

　　修改C:\Windows\SAMPLES\WSH\Network.vbs文件为病毒的发信模块。如果发信模块启动，将向OutLook地址本中的前50个人发送带毒邮件，邮件的主题是：“秋天的童话”，邮件的内容是：“曾经有一份真诚的爱情摆在我面前,可是我没有去珍惜......”，附件是蠕虫本身，文件名可能是“Islove?.jpg.exe”、Helpme?.jpg.exe”、“Myphoto?.jpg.exe”。

　　4、在特定条件下会生成批处理文件，试图格式化受害计算机，但可能是作者的逻辑思维有问题也可能是是作者故意的，实际上最后无法格式化硬盘。

　　5、病毒发作的时候，会修改Window Title为“中华人民共和国万岁!”，RegisteredOwner为“秋天的童话”。然后，搜索逻辑盘，用指定的内容覆盖所有的asp、shtml、htm、html文件。该网络蠕虫中还有Japan must for 1931-9-18 pay out price!等英文字样。

　　6、该病毒文件还对该文件的属性等进行了伪装：病毒文件版本看起来是:5.2615.0200;说明文字是来自：Outlook Express,版权信息看起来更象是来自微软：Copyright ? Microsoft Corp. 1995-1999.

　　金山毒霸反病毒应急中心提醒：该蠕虫病毒很可能在9.18日大规模发作，为了保障您的计算机安全请立即升级您的金山毒霸。金山毒霸以于9月1日对该病毒进行了应急处理已经能完全查杀此病毒，请www.duba.net升级毒霸到最新。

kanazi

看了不顶，小心变伤残人士

阿博

今天就是9月18号啊，那我关机了：）

ybin8

龙公子在此，9。18病毒就怕灌水

ybin8

QUOTE:

Originally posted by kanazi at 2003-9-18 09:06 PM:
　金山反病毒应急中心于9月1日最新载获一恶意蠕虫病毒，命名为“秋天的童话”（Worm.Pereban，别名：秋天的故事 I-Worm/AutuFairy）。蠕虫病毒似乎以纪念9.18事变为目的，采用发送病毒邮件的方式进行传播。病毒长 ...

[ Last edited by ybin8 on 2003-9-18 at 21:45 ]