| |
|
名为"医生"实乃恶意蠕虫 Doctor病毒在蔓延 病毒名称:Win32.Dotor.A 别名:Win32/Doctor.Worm, WORM_DOTOR.A, W97M/Dotor.A, W32.Dotor.A@mm, W97M.Dotor.a@mm, W32/DoTor@MM 病毒类型:Win32蠕虫 危害级别:低 传播速度:中 病毒特征: 借助Outlook传播的邮件蠕虫,感染后会生成Word宏病毒W97M/Dotor.A。反过来,该宏病毒也会生成Win32.Dotor蠕虫。 Win32.Dotor 蠕虫是用Visual Basic语言进行编写的,它会试图向Outlook地址簿中的所有邮件地址发送带毒邮件。其邮件格式为: 主题:NewTool for Word Macro Virus(清除Word宏病毒的新工具) 内文:This tool allows you to protect you against unknown macro virus. Click on the attached file to run this freeware. Best Regards. Have a nice day (该工具能保护你免受未知宏病毒的侵袭,点击附件运行此免费工具,祝好!) 附件:DocTor.exe (11,776字节) 病毒会在本地系统生成三个文件: 1.%WinDir%doctor.exe --病毒副本(11,776字节) ; 2.%Root%[random.txt] -- 任意8字符文件名的文本文件,含有宏病毒的源代码; 3.%Startup%doctor.vbs -- VB脚本文件,感染Word模板 (normal.dot)。 同时修改注册表运行键: HKLMSoftwareMicrosoftWindowsCurrentVersionRunDocTor = "%WinDir%Doctor.exe /newrun"在机器下次重启时,脚本文件doctor.vbs会自动运行,在感染完normal.dot模板后,会删除C:[random.txt]文件,同时添加如下键: HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0WordSecurityLevel = 1 HKEY_CURRENT_USERSoftwareMicrosoftOffice10.0WordSecurityLevel = 1 HKEY_CURRENT_USERSoftwareMicrosoftOffice10.0WordSecurityAccessVBOM = 1 其中宏组件W97M/Dotor会"盯住"Document_Open宏,以便感染新的Word模板及文档。 病毒会依据应用程序的不同版本(9.0或10.0)来设置以前提到的注册表键,从而降低宏的安全级别为"低",这就使得在Word启动时会使所有的宏都自动运行。 一旦感染新的normal模板,病毒会生成Win32/Dotor蠕虫的副本,以Doctor.exe的名字在%WinDir%目录下存在,大小可能比原蠕虫大1字节,之后病毒试图重写相同的注册表运行键: HKLMSoftwareMicrosoftWindowsCurrentVersionRunDocTor = %WinDir%Doctor.exe /newrun"。 |
| Copyright By「黑白网络工作室」2002 All Rights Reserve |