江民公司最新截获了一种新欢乐时光变种病毒,该病毒通过邮件传播,是一种恶意脚本病毒。目前已经接到国内关于此病毒的感染案例,并且此病毒还在大面积扩散之中。江民公司反病毒专家刘杰提醒用户,凡看见以下特征的邮件请小心!
带有这个病毒的邮件特征可能为下面几种:
邮件主题: Articulo
邮件正文:Te envio este articulo que encontre en internet, es
interesante y tal vez te sirva, he estado un poco ocupado, luego te
cuento.
Adios
邮件主题: Efectos en web
邮件正文: Oola, te envio esta pagina, tiene unos muy buenos efectos,
a mi me sorprendio Te escribo luego, hay una cos a que quiero contarte.
Adios
附件是一个HTML文件,包含VBScript病毒程序,名称为AngeldelMar.html.当文件被打开时,病毒程序执行,生成文件C:WindowsSystemGaghiel.vbs,经检测该文件带有VBS/Gaggle-A病毒。然后修改注册表,使系统启动时自动运行VBS文件:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun = "Gaghiel"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Domain Manager = "Gaghiel"
当VBS文件首次运行时,检查当前日期,如果大于25,就把IE的主页改成:http://www.gratisweb.com/machinedramon1sachiel.jpg.scr
蠕虫会计算日期和月份的和,如果它们的和等于三十,就弹出一个消息框,内容是用西班牙语显示的:
"Oracion antes de entraral internet:
Satelite nuestro que estas en el cielo,
Acelerado sea tu link,
Venga a nosotros tu hipertexto,
Hagase tu conexion en lo real comoen lo virtual,
Danos hoy el download de cada dia,
Perdona el cafe en el Teclado,
Asi como nosotros perdonamos a nuestros proveedores,
No nos dejes caer la conexion,
Y libranos de todo Virus,
En nombre del Server, del Modem y del santo User-name.
Log-in."
蠕虫创建病毒文件:
C:WindowsGaghiel.vbs 和 C:WindowsSystemAngeldelMar.htm。蠕虫会搜索所有本地驱动器和网络驱动器上的扩展名为:HTML, HTM, HTA, PHP, ASP, SHTML, SHTM, PHTML, PHTM, SFC的文件,如果这些文件内容中含有字符串"Gaghiel",蠕虫就会把VBS病毒代码加到这个文件的尾部,但如果是VBS或VBE文件,会被蠕虫的覆盖。蠕虫通过修改注册表HKEY_CURRENT_USERIdentities{当前用户的ID}SoftwareMicrosoftOutlook Express5.0Mail中的Message Send HTML,Compose Use Stationery 和 Stationery Name Converted三个键值,把Microsoft Outlook Express的设置修改成用HTML格式发送邮件,用带病毒的文件C:WindowsGaghiel.html 作为默认的信纸。蠕虫还会删除regedit.exe,regedb32.exe,msconfig.exe 和 C:WindowsRecent 文件中的所有文件。
清除方法:
用江民最新版《KV3000杀毒王》全面扫描系统,把检测到感染VBS/Gaggle-A的文件删除,重新修改Microsoft Outlook Express的设置。