W32.Passion.27648病毒资料

bow

病毒名称：W32.Passion.27648
别名： Worm.Passion, TROJ_ICQGREETING, ICQ_GREETINGS
发作时间：2000年任何一天
长度： 27648字节（一个EXE文件）
感染症状：Windows启动时会运行C:\ICQ.EXE
发作症状：格式化除C:盘外的所有分区及软盘，删除C:盘上的重要文件
病毒类型：特洛伊木马蠕虫
操作平台：Windows 9x/NT
感染对象：MS Outlook
病毒性质：恶性
病毒介绍：W32.Passion.27648是一个蠕虫病毒，以电子邮件附件的形式
传播，附件名为ICQ_GREETINGS.EXE，大小为27648字节，会在
2000年任何一天发作。
和W32.Badass.24576病毒类似，W32.Passion.27648好像
也是基于W97M.Melissa病毒的程序片断采用VB来编写的。该
蠕虫会在注册表里记录自己的活动信息，该记录的键值是
"... by diejkdls"，如果该记录存在，它就不会再次传染了。
当蠕虫每次运行的时候，总会试图执行下面的命令：
format d: /autotest /q /u
format e: /autotest /q /u
format a: /autotest /q /u
format f: /autotest /q /u
format u: /autotest /q /u
format b: /autotest /q /u
deleting files c:\*.c*, d:\*.c*, c:\WinNt\System\*.c*,
c:\WinNt4\System\*.c*, c:\Windows\System\*.c*,
c:\WinNt\System\*.o*, c:\WinNt4\System\*.o*,
c:\Windows\System\*.o*, c:\WinNt\*.i*, c:\WinNt4\*.i*,
c:\Windows\*.i*
另外该蠕虫还会修改注册表，以使得在每次Windows启动
的时候都能运行。修改的地方如下：
HKLocalMachine\Software\Microsoft\Windows\
CurrentVersion\Run
主键为"ICQ99b"，键值为"C:\ICQ.EXE"以运行C:\ICQ.EXE。
该蠕虫还会修改注册表另外两出地方：
HKLocalMachine\Software\Microsoft\WindowsNT\
CurrentVersion\Windows\Run\ICQ99b
键值同样设为"C:\ICQ.EXE"。
第二个修改的地方是记录病毒体里一个使用者的信息，修改的
地方如下：
HKLocalMachine\Software\Microsoft\WindowsNT\
CurrentVersion\Windows\CurrentVersion\
该蠕虫的其他特征就和MyPics病毒类似，请参见W32_My-
pics_Worm资料介绍。
备注： 修复方法：删除原文件和其生成的文件，如：ICQ_GREETING-
S.EXE, C:\ICQ.EXE等，并修改注册表，取消对它们的引用，
而该蠕虫所记录的活动信息可以不用删除，这样可以避免该
蠕虫的再次传播。


对不起，这份资料前天就应该贴出来的了，可是那天碰上了一件另我十分心伤的事，不说也罢，所以今天才发表，对不起大家了！