NAI发现新病毒

　　在九九年的岁末，NAI的反病毒紧急响应小组AVERT，连续收到了几个国家对同一病毒发作的报告。该病毒名 为：NewApt，通过电子邮件附件传播，其大小为69,632字节。需要注意的是NewApt将自己伪装成一个"m essagemates" 游戏程序，为避免更多的人被感染，Messagemates.com已经在网站上发布了通 告，网址为：http://stuart.messagemates.com/notice.htm 。NAI现已将 NewApt列入到病毒库中。

　　病毒名称：W32/NewApt.worm （w32/NewApt蠕虫病毒）

　　别名：I-Worm/MesMate, TROJ_NEWAPT.WORM, W32.NewApt.wor m, W32/NewApt.worm

　　变种：无

　　类型：蠕虫类病毒。

　　危险评估等级：高

　　可查此病毒的病毒库最低要求：4058

　　查毒引擎的最低要求：4.0.25

　　病毒特性：

　　NewApt会根据电子邮件收发程序是否支持HTML格式，显示以下两个不同信息中的一个。

　　1、如果电子邮件客户端软件不支持HTML格式，则邮件信息显示如下：------------------ --------------------------------------------- http://st uart.messagemates.com/index.html Hypercool Happy New Ye ar 2000 funny programs and animations... We attached ou r recent animation from this site in our mail ! Check i t out ------------------------------------------------- --------------

　　2、如果电子邮件客户端软件不支持HTML格式，则邮件信息显示如下：

　　--------------------------------------------------- ------------ he, your lame client cant read HTML, haha. click attachment to see some stunningly HOT stuff ----- ------------------------------------------------------- --- 而邮件中的携带病毒的附件文件将从下列文件中随机产生：

　　baby.exe ，bboy.exe，boss.exe，casper.exe，chestburst.e xe，cooler1.exe，cooler3.exe copier.exe，cupid2.exe，farter .exe，fborfw.exe，goal.exe，goal1.exe，g-zilla.exe irngiant .exe，hog.exe，monica.exe，panther.exe，panthr.exe，party.ex e，pirate.exe s.exe，saddam.exe，theobbq.exe，video.exe

　　当这一蠕虫病毒发作时，系统将会产生一个虚假的错误消息，该消息为“The dinamic link li brary giface.dll could not be found in the `指定目录`”。而这一指 定目录名的获取对于不同的操作系统会有所不同。在Windows 9x操作系统下它是由AUTOEXEC.BAT文件 中设置的系统环境变量“path"得来的；而在Windows NT操作系统中是通过控制面扳中的设置获取的。

　　需要注意的是在上述的消息中单词“dynamic”的拼写是错误的。

　　在显示这一消息后，计算机将检查系统中是否已经安装有MS Outlook Express程序。如果已安装 这一软件的话，那么在c:\windows文件夹中将有两个文件被写入：

　　1、mma. 该文件包含一份电子邮件地址列表；

　　2、mmail.该文件包含MS Outlook Express 所在目录名。

　　而这份电子邮件地址列表是通过检查Outlook Express所有文件夹中收到的邮件来获取的。

　　在完成以上步骤后，会有一个上面提到的随机选取的染毒的文件被存入Windows文件夹，而当Windows 再次启动时，注册表会使用命令行选项“/X”来装载该文件。举例说明：如果这一将被运行的随机选取的染毒文件是“ch estburst.exe”，那么在Windows 95系统中的注册表项目将会有以下内容：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run tpawen = c:\windows\chestburst.exe /x

　　于是，在下一次Windows启动时，该文件将被系统加载。而当内存中贮留有蠕虫病毒时，该病毒将不定时地向 “mma.”文件中所列的电子邮件地址发送电子邮件，邮件的内容如前文所述。

　　当Windows 9x系统中存在着正在活动的蠕虫病毒时，以下的动态连接库将被执行：

　　C:\WINDOWS\SYSTEM\WSOCK32.DLL

　　C:\WINDOWS\SYSTEM\WININET.DLL

　　C:\WINDOWS\SYSTEM\SHLWAPI.DLL

　　C:\WINDOWS\SYSTEM\USER32.DLL

　　C:\WINDOWS\SYSTEM\GDI32.DLL

　　C:\WINDOWS\SYSTEM\ADVAPI32.DLL

　　C:\WINDOWS\SYSTEM\KERNEL32.DLL

　　当一个电子邮件应用程序，例如MS Outlook，正在使用时，尚需另外加载动态连接库“TAPI32.D LL”。

　　通过对该蠕虫病毒传播方式的研究，AVERT发现，前文所列的随机选取染毒文件中字符串显示，它会调用Net scape浏览器中参考文件“ prefs.js”中储存的信息。

　　症状：如果本地系统中存在感染病毒的文件，则系统注册表将如上文所述的方式被改动，而同时，将发出电子邮件， 其方式也如上文所述。

　　感染方式：一但运行了被感染的可执行文件，病毒便会进行自我复制，并通过电子邮件向外传播。

　　解决办法：使用具有4.0.25（或更高版本）查毒引擎的VirusScan 4 。或：Dr. Solom on's AVTK 7.99 (或更高版本)或VirusScan 3x