【姿stelva轩】病毒也追星 Yanz.B大驾光临

W32.Yanz.B @mm 搜集受感染计算机中的邮件地址，然后依赖自带的SMTP大规模复制发送自身到这些地址
This threat is written in the Microsoft Visual C++ programming language.

该追星病毒使用微软Visual C++编写，看起来不仅是孙燕姿的粉丝，也是微软的粉丝……

其他命名:  Email-Worm.Win32.Yanz.b [Kaspersky], W32/Yanz.b @MM [McAfee], W32/Yanz.B.worm [Panda], W32/Favsin-A [Sophos] 
病毒类型:  蠕虫 
病毒长度:  122,880 字节 
受影响系统:  Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 
风险指数:  低
破坏能力:  中
感染能力:  高
综合指数:  2级

当他开始发病时:
显示一个消息窗口，如下：

标题: WINDOWS PANIC 
消息内容: No Windows. Yes doors and holes.

它将自身拷贝为如下文件：

%System%\Dong_Shi.exe 
%System%\NvCpl.EXE

(蠕虫病毒最老套的保存位置，你们就不会换个位置？？)

提示: %System% 默认为:

 C:\Windows\System (Windows 95/98/Me)
 C:\Winnt\System32 (Windows NT/2000)
  或 C:\Windows\System32 (Windows XP).

创建如下文件：

C:\Yanzi.htm 

%Windir%\Sun_YanZI.zip (一个包含有 Sun_Yan_Zi-Shen_Q1.mp3.pif 文件的zip文件----它是该蠕虫的一个拷贝文件) 
%System%\Huai_Tian_Q1.sys ( 一个MIME编码压缩文件，包含有文件Sun_Yan_Zi-Shen_Q1.mp3.pif ----也是该蠕虫的一个拷贝文件，我讨厌蠕虫！) 
%System%\I_am_Sun_Yanzi.sys. (一个 MIME 编码的蠕虫) 
YanZi.vbs. (该文件在当前文件夹被创建同时创建一个sun.exe文件)

提示: %Windir%是Windows安装目录，默认情况下它是 C:\Windows 或 C:\Winnt.

当 sun.exe 运行时, 它创建三个 .jpg 文件在 %Temp% 文件夹下. 文件名以 "SuN" 作为前缀.

提示:

这些文件中的一个是利用 Microsoft GDI+ Library JPEG Segment Length Integer Underflow (在微软安全公告 MS04-028 中有描述) 漏洞从sunyanzi.fastmail.cn 下载一个名为 m00.exe 的文件，当然了，这个文件也不是什么好鸟，它也是个木马。

%Temp% 是Windows的临时文件夹，默认情况下它是 C:\Windows\TEMP (Windows 95/98/Me/XP) 或 C:\WINNT\Temp (Windows NT/2000).

添加键值：

"NvCpl"=%System%\NvCpl.EXE

到注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

又是一个老套的做法～(病毒作者:再乱挑刺老子黑了你！伯狼：……)

创建一个互斥实例： "Stefanie Sun Yanzi".

将自身拷贝到受感染计算机中含有"SHAR"(奇怪，怎么就没粗心打成"SARS"？)字符串的文件夹中，命名如下：

SunYanZi.mp3.exe 
Sun_YanZi-Huai_Tian_Qi.mpg.exe 
Sun_YanZi-I_am_not_sad.mp3.exe 
Sun_YanZi-Leave_me_alone.mp3.exe 
Sun_YanZi-Mei_You_Ren_De_Fang_Xiang.avi.exe 
Sun_YanZi-Shen_Qi.exe 
Sun_YanZi-Tao_Wang.mpeg.exe 
YanZi.Mp3.exe 
YanZi_SuN-forever.mp3.exe




偶素天才地球人都知道-0-