Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Scano.S
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:中等程度
破坏 / 损害程度:低程度至中程度
静态文件:
文件大小:18.060 字节
MD5 校检和:47675f28642b095db99b2eae6ecec2bb
VDF 版本:7.11.53.216 - donderdag 13 december 2012
IVDF 版本:7.11.53.216 - donderdag 13 december 2012

 况概描述 传播方法:
   • 电子邮件


别名:
   •  Mcafee: W32/Areses.h
   •  TrendMicro: WORM_ARESES.AC
   •  Sophos: W32/Areses-F
   •  VirusBuster: I-Worm.Scano.O
   •  Eset: Win32/Scano.NAK
   •  Bitdefender: Win32.Scano.N@mm


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 下载文件
   • 使用自置的电子邮件引擎
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %WINDIR%\csrss.exe



它会将其本身从存档中复制到以下位置:
   • %TEMPDIR%\Message.zip




它会尝试下载一些文件:

– 该位置如下所示:
   • http://207.46.250.119/g/**********
撰写本文时,此文件并未联机作深入调查。

– 该位置如下所示:
   • http://www.microsoft.com/g/**********
撰写本文时,此文件并未联机作深入调查。

– 该位置如下所示:
   • http://84.22.161.192/s/**********
撰写本文时,此文件并未联机作深入调查。



它会尝试执行以下文件:

– 文件名:
   • %SYSDIR%\services.exe
使用以下命令行参数: %WINDIR%\csrss.exe
用于对任务管理器隐藏进程。

– 文件名:
   • %SYSDIR%\svchost.exe
使用以下命令行参数: %WINDIR%\csrss.exe

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



会删除以下注册表项的注册值:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 电子邮件 它包含集成的 SMTP 引擎,用于发送电子邮件。 将与目标服务器建立直接连接。 下面说明了它的特征:


发件人:
发件地址是仿冒的。


收件人:
– 在系统上的特定文件中找到的电子邮件地址。
– 从 WAB (Windows 通讯簿) 搜集到的电子邮件地址


主题:
以下某项内容:
   • Приветик, как твои дел?
   • ЙЫЛЙ?
   • Привет, ты где?
   • Привет, напиши мне!!!
   • Привет! Срочно напиши м!
   • не!
   • дешь?
   • Re: напиши мне!
   • Re: Позвони мне!
   • Re: Ты где?
   • Re: Когда ты мне ответиш
   • Re: Как настроение?
   • Re: Где пропадаешь?



正文:
– 在有些情况下,它可能是空的。

 
电子邮件的正文如以下某行所示:
   • Привет! Я сегодня жду те
   • Сегодня в интернете бу
   • Когда мне напишишь?
   • Приветик!!! Как настроен


附件:
附件的文件名是以下某个名称:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

该附件是包含恶意软件本身副本的存档。

 邮件 搜索地址:
它会在以下文件中搜索电子邮件地址:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


避免地址:
它不会向包含以下某个字符串的地址发送电子邮件:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 文件详细信息 运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

Beschrijving ingevoegd door Irina Boldea op maandag 30 oktober 2006
Beschrijving bijgewerkt door Irina Boldea op maandag 6 november 2006

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.