1. 病毒可执行文件样本使用 PE_Patch/MewBundle/MEW 组合打包,加壳后文件大小为 40877 字节;病毒释放的文件使用 UPX 打包,加壳后文件大小为 39734 字节;
2. 病毒运行后会将自身拷贝到 %SYSTEM% 目录下,拷贝的病毒文件名随机生成,并将自己添加到注册表启动项中:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”,键值随机生成;
3. 病毒会释放一个名为 WAS%d.TMP 的文件(其中 %d 可以为任意数字),此文件实际上是一个动态链接库程序。随后,病毒会将该文件注入到系统中所有以“expl/winl/serv”开头命名的存在进程中;
4. 在 Windows XP Sp2 系统中,病毒会修改注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center 下的
AntiVirusOverride
FirewallDisableNotify
FirewallOverride
UpdatesDisableNotify
的所有键值置 1
5. 病毒搜索所有打开的窗口,如果发现名为 "processes" 的窗口,则会令该窗口上的列表不可用。
6. 病毒会修改 “%SYSTEM%\drivers\etc\hosts” 文件,禁止访问以下网站:
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
ca.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.viruslist.ru
www3.ca.com
7. 病毒通过执行命令行命令:
netsh.exe firewall set opmode mode=disable profile=all
sc.exe config SharedAccess start= disabled
修改系统防火墙以及系统共享的设定
8. 病毒会在受害机器上建立邮件服务器代理中转
9. 传播方式:
病毒从 dbx/htm/txt 文件中搜寻可用的邮箱地址,并通过电子邮件发送自身副本进行传播。
邮件主题(其中任一):
Cool
Pics
Funny
Bush
Joke
secret
邮件的内容(其中任一):
Saddam Hussein - Attempted Escape, Shot dead Attached some pics that i found
Osama Bin Laden Captured. Attached some pics that i found
Testing
Secret!
Hey,
Remember this?
Hello,
Long time! Check this out!
Hey,I was going through my album, and look what I found..
Hey,Check this out :-)
在邮件内容尾部,病毒会随机选择一条以下信息,用以欺骗用户:
++ Attachment: No Virus found
++ Panda AntiVirus - You are protected
++ www.pandasoftware.com
++ Attachment: No Virus found
++ Norman AntiVirus - You are protected
++ www.norman.com
++ Attachment: No Virus found
++ F-Secure AntiVirus - You are protected
++ www.f-secure.com
++ Attachment: No Virus found
++ Norton AntiVirus - You are protected
+++ www.symantec.com
邮件中的附件名称(其中任一):
bush.1
funny.1
joke.1
pics.1
secret.2
邮件中附件的扩展名(其中任一):
1.EXE
2.PIF
3.SCR
4.ZIP
另,病毒在选取发送邮箱的时候会避免使用包含以下域名的地址:
ogle
yaho
help
admi
ter@
micr
msn.
hotm
supp
yman
viru
tren
secu
.mil
urhq
pand
afee
soph
kasp
.gov
nort
10. 病毒也会尝试利用最新的 Microsoft Security Bulletin MS05-039 进行传播自己。
