“燕子”蠕虫病毒分析报告（1）

　　11月24日下午，金山毒霸反病毒实验室紧急处理了一个传播较为广泛的燕子蠕虫病毒，命名为：“燕子”（Worm.Yanz.b），并紧急升级了病毒库。

　　金山毒霸对该病毒已经做了紧急处理，请用户及时升级毒霸到2004年11月24日的最新病毒库。

　　以下是该病毒的详细分析报告
　
　　 病毒信息：

　　病毒名称: Worm.Yanz.b
　　 中文名称: 燕子
　　 威胁级别: 中
　　 病毒类型: 蠕虫 　　
　　 受影响系统: Win9x / WinNT
　　 发现时间: 2004年11月24日

　　病毒简介：

　　该病毒通过共享、电子邮件等多种方式传播，病毒的文件名仿冒孙燕姿的的歌曲（如：Huai_Tian_Qi Tao_Wang），诱使用户打开运行，打开后会弹出一个“No Windows. Yes doors and holes”内容的对话框。病毒还会尝试从网上下载一个键盘记录木马，窃取用户的信息。

　　技术特点：

　　 1、在创建如下文件：

　　C:\Yanzi.htm
　　 %SystemRoot%\Sun_YanZI.zip（为含有病毒的压缩包，包内的名称为：Sun_Yan_Zi-Shen_Qi.mp3.pif）
　　 %System%\Dong_Shi.exe （病毒自身拷贝）
　　 %System%\NvCpl.EXE（病毒自身拷贝）
　　 %System%\I_am_Sun_Yanzi.sysa（MIME编码的病毒）
　　 %System%\Huai_Tian_Q1.sys （包含有病毒的MIME的压缩包）
　　 YanZi.vbs（生成Sun.exe）文件

　　2、在注册表主键：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　 添加如下键值
　　 "NvCpl"=%System%\NvCpl.EXE

　　3、在所有含有SHAR的文件夹内复制自身，文件名可能如下之一：

　　SunYanZi.mp3.exe
　　 Sun_YanZi-Huai_Tian_Qi.mpg.exe
　　 Sun_YanZi-I_am_not_sad.mp3.exe
　　 Sun_YanZi-Leave_me_alone.mp3.exe
　　 Sun_YanZi-Mei_You_Ren_De_Fang_Xiang.avi.exe
　　 Sun_YanZi-Shen_Qi.exe
　　 Sun_YanZi-Tao_Wang.mpeg.exe
　　 YanZi.Mp3.exe
　　 YanZi_SuN-forever.mp3.exe

　　4、创建Stefanie Sun Yanzi互斥量。

　　5、在如下文件中搜索电子邮件：

　　.adb
　　 .asp
　　 .dbx
　　 .doc
　　 .htm
　　 .html
　　 .jsp
　　 .rtf
　　 .txt
　　 .xml

　　6、过滤含有以下字符的邮件地址：

　　@aksam
　　 @dostmail
　　 @e-kolay
　　 @erdemir
　　 @erdemironline
　　 @hurriyetim
　　 @milliyet
　　 @mynet
　　 @ntvmsnbc
　　 @posta
　　 @sabah
　　 @superonline（待续）