9,506
社区成员
发帖
与我相关
我的任务
分享
...全文
请发表友善的回复…
发表回复
qiang312 2004-04-15
- 打赏
- 举报
通过邮件、IRC和文件共享传播的Cian.D蠕虫-危害级别(高) 03年02月21
病毒名称:VBS.Cian.D
别名:W32/Gant@MM (McAfee), W32.HLLW.Tang@mm (Symantec), Win32/Tang.Worm, I-Worm.Tanger (Kaspersky)
种类:Win32
类型:蠕虫
破坏性:高
普及度:高
特性
Cian.D是一种感染Word文档以及Excel电子数据表的病毒。同样它也是一种e-mail蠕虫,可以通过邮件、IRC和文件共享传播。
被感染的Word宏可以直接将病毒传染给其他Word文档,Excel部分也可以直接感染其他的Excel电子数据表。而且,两种格式的文件可以相互感染。被感染的Word文档和Excel电子数据表会被设置下面的注册表键值:
HKEY_CURRENT_USER\Software\Zed/[rRlf]\W32/TaNG\Macro\Installed="1"
且这些被感染的文件会生成可执行文件:%system%\MSTnglnk.exe
此EXE文件会轮流感染Word的Normal.dot以及在Excel starup目录中生成的Personal.xls。病毒会将宏的原程序储存在下面这个文件中:%windows%\MSTngmgr32.ocx。
这个EXE文件会通过邮件以及IRC传播。而传播蠕虫的邮件则有下列特征:
Subject:
Important Notice
Body:
Hello readers,
A few days ago the Microsoft Network Email System automatically deleted my email account. This happened because there is a bug in the Microsoft Network Email System that may unintentionally remove email accounts without rompting. I have included a patch with this email that will fix the bug on un-patched computers. If you need help installing this file, read attached help file.
Thanks.
Attachment:
EmailFix.exe
----------
..........
----------
Subject:
Hotmail passwords
Body:
Hello Readers,
Have you tried to crack a Hotmail password ... and failed?
Try the 'Hotmail Password Cracker' program that I have included in the attachments.
Happy hacking!
Attachment:
EmailHacker.exe
蠕虫第一次运行时,会显示一个假的错误信息,比如:此对话旷中显示的文件名,是一个已经在运行的文件。随后,蠕虫将自己的副本拷贝到下列位置:
%system%\MSTng32.exe
%system%\OMServ32.exe
%system%\Dostng32.pif
%system%\Cmdinst32.exe
%system%\Mswpdmgr.exe
%system%\Winlnkmgr.exe
%system%\Mscabdrv.exe
%system%\Re-inst32.scr
%system%\Netwc32.exe
%system%\Wincmndr.exe
%system%\Unitxt32.exe
%windows%\Unicode32.scr
%windows%\Msostart32.exe
%windows%\Wnetcon32.exe
%windows%\Msnetwrk32.exe
%windows%\Msregmc32.exe
%windows%\Msscndsk.exe
%windows%\Mwintype.exe
%windows%\Keymapp32.exe
%windows%\Wncnet32.exe
%windows%\Windns32.exe
%windows%\Msdnssrv.exe
蠕虫会添加下面这个注册表键值,以便每次Windows启动蠕虫的一个副本都会自动运行:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Mstng32="%system%\MSTng32.exe"
蠕虫会向Outlook地址本中的地址发送蠕虫副本。邮件内容是随机的,而每封邮件的附件都会留一个副本储存在Windows目录中。
蠕虫会覆盖所有网络驱动器中下列目录里特定的某些文件
\Program Files\LimeWire\Shared
\Programme\LimeWire\Shared
\Programmi\LimeWire\Shared
\Program Files\Gnucleus\Downloads
\Programme\Gnucleus\Downloads
\Programmi\Gnucleus\Downloads
\Program Files\Gnucleus\Downloads\Incoming
\Programme\Gnucleus\Downloads\Incoming
\Programmi\Gnucleus\Downloads\Incoming
\Program Files\Shareaza\Downloads
\Programme\Shareaza\Downloads
\Programmi\Shareaza\Downloads
\Program Files\Kazaa\My Shared Folder
\Programme\Kazaa\My Shared Folder
\Programmi\Kazaa\My Shared Folder
\Program Files\Kazaa Lite\My Shared Folder
\Programme\Kazaa Lite\My Shared Folder
\Programmi\Kazaa Lite\My Shared Folder
\Program Files\BearShare\Shared
\Programme\BearShare\Shared
\Programmi\BearShare\Shared
\Program Files\Edonkey2000\Incoming
\Programme\Edonkey2000\Incoming
\Programmi\Edonkey2000\Incoming
\Program Files\Morpheus\My Shared Folder
\Programme\Morpheus\My Shared Folder
\Program Files\Grokster\My Grokster
\Programme\Grokster\My Grokster
\Programmi\Grokster\My Grokster
\Program Files\ICQ\Shared Files
\Programme\ICQ\Shared Files
\Programmi\ICQ\Shared Files
\My Documents\My Music
\My Music
\Kazaa\My Shared Folder
\My Downloads
在这些目录中,蠕虫会在副本后添加额外的扩展名.scr或.dif,以此替换其他文件。蠕虫将自己的副本添加额外的扩展名".exe",随后替换上面目录中含有下列扩展名的文件:
mp3、 mp2、 gif、 bmp、 dib、 png、 jpg、 jpeg、 jpe、 tif、 tiff、 mpg、 mpeg、 mpe、 avi、 mov、 、m3u、 b4s、 tmp、 txt、 lnk 、bat、 mdb、 ppt、 pps、
比如,一个文件为"song.mp3"将被替换为"song.mp3.exe"。蠕虫会以LICENSE.exe拷贝副本到所有网络映射驱动器的根目录下。
蠕虫会尝试使用客户端mIRC和Pirth通过IRC传播。如果这两种客户端都没有找到,蠕虫会创建另一个副本:%windows%\Notice.tng,用来向IRC频道发送。
蠕虫会在下列目录中搜索mIRC:
C:\Mirc
C:\Mirc32
C:\Program Files\Mirc
C:\Programme\Mirc
C:\Programmi\Mirc
C:\Program Files\Mirc32
C:\Programme\Mirc32
C:\Programmi\Mirc32
在上面的每个目录中,蠕虫会生成文件"script.ini",此文件会向IRC用户发送文件"Notice.tng"以及下列信息:
Read this notice file for mIRC (If it doesn't work, rename it to NOTICE.PIF
蠕虫会在下列目录中搜索Pirch:
C:\Pirch
C:\Pirch32
C:\Program Files\Pirch
C:\Programme\Pirch
C:\Programmi\Pirch
C:\Program Files\Pirch32
C:\Programme\Pirch32
C:\Programmi\Pirch32
在上面的每个目录中,蠕虫会生成文件"events.ini",此文件会向IRC用户发送文件"Notice.tng"以及下列信息:
Read this notice file for mIRC (If it doesn't work, rename it to NOTICE.PIF
蠕虫也会尝试通过VIRC来传播。如果下列任何一个目录存在:
C:\Virc
C:\Program Files\Virc
C:\Programme\Virc
C:\Programmi\Virc
蠕虫会生成一个副本文件: %windows%\Notice.pif ,并设置下面这个注册表键值,此键值中包含一个命令,可以向IRC用户发送此蠕虫副本:
HKEY_USERS\.Default\Software\MeGALiTH Software\Visual IRC96\Events\Event17
最后,Cian.D会感染所有的批处理文件(*.bat),在每个批处理文件的最后添加一行可以运行蠕虫副本"%system%\MSTng32.exe"的命令。
此病毒会降低Word和Excel中宏命令的安全级别。
病毒的检测/清除:
KILL安全胄甲 inoculateIT v23.60.00 vet 10.5/4441 版及kill 98/2000 v42.00可检测/清除此病毒。
病毒名称:VBS.Cian.D
别名:W32/Gant@MM (McAfee), W32.HLLW.Tang@mm (Symantec), Win32/Tang.Worm, I-Worm.Tanger (Kaspersky)
种类:Win32
类型:蠕虫
破坏性:高
普及度:高
特性
Cian.D是一种感染Word文档以及Excel电子数据表的病毒。同样它也是一种e-mail蠕虫,可以通过邮件、IRC和文件共享传播。
被感染的Word宏可以直接将病毒传染给其他Word文档,Excel部分也可以直接感染其他的Excel电子数据表。而且,两种格式的文件可以相互感染。被感染的Word文档和Excel电子数据表会被设置下面的注册表键值:
HKEY_CURRENT_USER\Software\Zed/[rRlf]\W32/TaNG\Macro\Installed="1"
且这些被感染的文件会生成可执行文件:%system%\MSTnglnk.exe
此EXE文件会轮流感染Word的Normal.dot以及在Excel starup目录中生成的Personal.xls。病毒会将宏的原程序储存在下面这个文件中:%windows%\MSTngmgr32.ocx。
这个EXE文件会通过邮件以及IRC传播。而传播蠕虫的邮件则有下列特征:
Subject:
Important Notice
Body:
Hello readers,
A few days ago the Microsoft Network Email System automatically deleted my email account. This happened because there is a bug in the Microsoft Network Email System that may unintentionally remove email accounts without rompting. I have included a patch with this email that will fix the bug on un-patched computers. If you need help installing this file, read attached help file.
Thanks.
Attachment:
EmailFix.exe
----------
..........
----------
Subject:
Hotmail passwords
Body:
Hello Readers,
Have you tried to crack a Hotmail password ... and failed?
Try the 'Hotmail Password Cracker' program that I have included in the attachments.
Happy hacking!
Attachment:
EmailHacker.exe
蠕虫第一次运行时,会显示一个假的错误信息,比如:此对话旷中显示的文件名,是一个已经在运行的文件。随后,蠕虫将自己的副本拷贝到下列位置:
%system%\MSTng32.exe
%system%\OMServ32.exe
%system%\Dostng32.pif
%system%\Cmdinst32.exe
%system%\Mswpdmgr.exe
%system%\Winlnkmgr.exe
%system%\Mscabdrv.exe
%system%\Re-inst32.scr
%system%\Netwc32.exe
%system%\Wincmndr.exe
%system%\Unitxt32.exe
%windows%\Unicode32.scr
%windows%\Msostart32.exe
%windows%\Wnetcon32.exe
%windows%\Msnetwrk32.exe
%windows%\Msregmc32.exe
%windows%\Msscndsk.exe
%windows%\Mwintype.exe
%windows%\Keymapp32.exe
%windows%\Wncnet32.exe
%windows%\Windns32.exe
%windows%\Msdnssrv.exe
蠕虫会添加下面这个注册表键值,以便每次Windows启动蠕虫的一个副本都会自动运行:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Mstng32="%system%\MSTng32.exe"
蠕虫会向Outlook地址本中的地址发送蠕虫副本。邮件内容是随机的,而每封邮件的附件都会留一个副本储存在Windows目录中。
蠕虫会覆盖所有网络驱动器中下列目录里特定的某些文件
\Program Files\LimeWire\Shared
\Programme\LimeWire\Shared
\Programmi\LimeWire\Shared
\Program Files\Gnucleus\Downloads
\Programme\Gnucleus\Downloads
\Programmi\Gnucleus\Downloads
\Program Files\Gnucleus\Downloads\Incoming
\Programme\Gnucleus\Downloads\Incoming
\Programmi\Gnucleus\Downloads\Incoming
\Program Files\Shareaza\Downloads
\Programme\Shareaza\Downloads
\Programmi\Shareaza\Downloads
\Program Files\Kazaa\My Shared Folder
\Programme\Kazaa\My Shared Folder
\Programmi\Kazaa\My Shared Folder
\Program Files\Kazaa Lite\My Shared Folder
\Programme\Kazaa Lite\My Shared Folder
\Programmi\Kazaa Lite\My Shared Folder
\Program Files\BearShare\Shared
\Programme\BearShare\Shared
\Programmi\BearShare\Shared
\Program Files\Edonkey2000\Incoming
\Programme\Edonkey2000\Incoming
\Programmi\Edonkey2000\Incoming
\Program Files\Morpheus\My Shared Folder
\Programme\Morpheus\My Shared Folder
\Program Files\Grokster\My Grokster
\Programme\Grokster\My Grokster
\Programmi\Grokster\My Grokster
\Program Files\ICQ\Shared Files
\Programme\ICQ\Shared Files
\Programmi\ICQ\Shared Files
\My Documents\My Music
\My Music
\Kazaa\My Shared Folder
\My Downloads
在这些目录中,蠕虫会在副本后添加额外的扩展名.scr或.dif,以此替换其他文件。蠕虫将自己的副本添加额外的扩展名".exe",随后替换上面目录中含有下列扩展名的文件:
mp3、 mp2、 gif、 bmp、 dib、 png、 jpg、 jpeg、 jpe、 tif、 tiff、 mpg、 mpeg、 mpe、 avi、 mov、 、m3u、 b4s、 tmp、 txt、 lnk 、bat、 mdb、 ppt、 pps、
比如,一个文件为"song.mp3"将被替换为"song.mp3.exe"。蠕虫会以LICENSE.exe拷贝副本到所有网络映射驱动器的根目录下。
蠕虫会尝试使用客户端mIRC和Pirth通过IRC传播。如果这两种客户端都没有找到,蠕虫会创建另一个副本:%windows%\Notice.tng,用来向IRC频道发送。
蠕虫会在下列目录中搜索mIRC:
C:\Mirc
C:\Mirc32
C:\Program Files\Mirc
C:\Programme\Mirc
C:\Programmi\Mirc
C:\Program Files\Mirc32
C:\Programme\Mirc32
C:\Programmi\Mirc32
在上面的每个目录中,蠕虫会生成文件"script.ini",此文件会向IRC用户发送文件"Notice.tng"以及下列信息:
Read this notice file for mIRC (If it doesn't work, rename it to NOTICE.PIF
蠕虫会在下列目录中搜索Pirch:
C:\Pirch
C:\Pirch32
C:\Program Files\Pirch
C:\Programme\Pirch
C:\Programmi\Pirch
C:\Program Files\Pirch32
C:\Programme\Pirch32
C:\Programmi\Pirch32
在上面的每个目录中,蠕虫会生成文件"events.ini",此文件会向IRC用户发送文件"Notice.tng"以及下列信息:
Read this notice file for mIRC (If it doesn't work, rename it to NOTICE.PIF
蠕虫也会尝试通过VIRC来传播。如果下列任何一个目录存在:
C:\Virc
C:\Program Files\Virc
C:\Programme\Virc
C:\Programmi\Virc
蠕虫会生成一个副本文件: %windows%\Notice.pif ,并设置下面这个注册表键值,此键值中包含一个命令,可以向IRC用户发送此蠕虫副本:
HKEY_USERS\.Default\Software\MeGALiTH Software\Visual IRC96\Events\Event17
最后,Cian.D会感染所有的批处理文件(*.bat),在每个批处理文件的最后添加一行可以运行蠕虫副本"%system%\MSTng32.exe"的命令。
此病毒会降低Word和Excel中宏命令的安全级别。
病毒的检测/清除:
KILL安全胄甲 inoculateIT v23.60.00 vet 10.5/4441 版及kill 98/2000 v42.00可检测/清除此病毒。
k4 2004-04-15
- 打赏
- 举报
www.spant.net杀毒
weijian0131 2004-04-15
- 打赏
- 举报
可能是木马
