別名
WORM_FATSO.A, W32/Crog.worm, IM-Worm.W32.Sumom.a, , Sumom.A, W32/Sumom-A, Win32.Sumom.A, Win32/Bropia.17429!Worm, Win32.Bropia.U
內容
W32.Serflog.A 是一種常駐於記錄體的蠕蟲,它經由 MSN Messenger 散播。當系統受到感染,它會傳遞即時訊息給所有在線的 MSN messenger 連絡人,而訊息包含一個連結用來下載蠕蟲到連絡人的系統。它也可以經由eMule 和點對點檔案共享程式散播。
當瀏覽互聯網時,若使用者存取防毒軟件和電腦保安公司相關的網址時,會被蠕蟲重新導向到特定的網址。
蠕蟲會儲存一個名為 "Crazy-Frog.Html" 檔案到系統的根目錄並執行它,然後會在以下的網址顯示一個大圖像:
它亦會存取以下的網址(用來計算全球受蠕蟲感染的人數)和顯示在 Crazy-Frog.Html 檔案的底部:
http://udjc.com/coun<BLOKCED>r/i...yyyyyy&s=bluesky 蠕蟲會儲存一個名為 Message to n00b LARISSA.txt 檔案到系統的根目錄並執行它。它可能包含以下的訊息:
"Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking Saving the world from Bropia, the world n33ds saving from you!
'-S-K-Y-'-D-E-V-I-L-'"
此外,它也會儲存一個名為 "British National Party.jpg" 檔案,由受感染系統的預設影像檢視器開啟。
破壞力
1. 它經由 MSN Messenger 傳送訊息給所有尋找到的 MSN 連絡人。
2. 蠕蟲複製自己到以下的視窗系統資料夾:
%windir%\formatsys.exe
%windir%\serbw.exe
%windir%\msmbw.exe
%windir%\lspt.exe
它嘗試下載以下檔案到系統的根目錄 (如 C:\ ):
Annoying crazy frog getting killed.pif
Crazy frog gets killed by train!.pif
Fat Elvis! lol.pif
How a Blonde Eats a Banana...pif
Jennifer Lopez.scr
LOL that ur pic!.pif
lspt.exe
Me on holiday!.pif
Mona Lisa Wants Her Smile Back.pif
My new photo!.pif
See my lesbian friends.pif
The Cat And The Fan piccy.pif
Topless in Mini Skirt! lol.pif
Crazy-Frog.Html
Message to n00b LARISSA.txt
Crazy-Frog.Html
British National Party.jpg
3. 當蠕蟲檔案被執行時,它會建立以下登錄索引值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run%Random Value% = "%Windows%\msmbw.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run%Random Value% = "%Windows%\msmbw.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices%Random Value% = "%Windows%\msmbw.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run%Random Value% = "%Windows%\msmbw.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run%Random Value% = "%Windows%\msmbw.exe"
* "%Random Value%" 可能是以下其中一個:
ltwob
serpe
avnort
4. 蠕蟲會加入或更改以下的登錄索引值來啟動視窗的系統還原工具程式:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestoreDisableSR = "0"DisableConfig = "0"
5. 它會經 eMule 和點對點檔案共享程式來傳播。它複製自己和命名為以下的檔案名稱並儲存到受感染系統的資料夾 "%Program Files%\Program Files\eMule\Incoming\ ","%Root%\My Shared folder" 和 <User Profile>\Shared folder:
Messenger Plus! 3.50.exe
MSN all version polygamy.exe
MSN nudge bomb.exe
6. 它會更改 HOSTS 檔案令使用者嘗試存取以下防毒軟件和電腦保安公司相關的網址時,將受感染的使用者重新導向到 "64.233.167.104":
symantec.com... sophos.com... mcafee.com... viruslist.com... f-secure.com... avp.com... kaspersky.com... networkassociates.com... ca.com... my-etrust.com... nai.com... trendmicro.com... grisoft.com... securityresponse.symantec.com
symantec.com
sophos.com
mcafee.com
liveupdate.symantecliveupdate.com
viruslist.com
f-secure.com
kaspersky.com
kaspersky-labs.com
avp.com
networkassociates.com
ca.com
mast.mcafee.com
my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
grisoft.com
sandbox.norman.no
pandasoftware.com... uk.trendmicro-europe.com
7. 它嘗試終止以下系統上運行的程序:
apvxdwin.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avengine.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bawindo.exe
blackd.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccpxysvc.exe
cfiaudit.exe
cmd.exe
CmdPrompt32.pif
defwatch.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
firewall.exe
frameworkservice.exe
icssuppnt.exe
icsupp95.exe
LOVE_LETTER_FOR_YOU.pif
luall.exe
lucoms~1.exe
mcagent.exe
mcshield.exe
mcupdate.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
msconfig.exe
msdev.exe
MSLARISSA.pif
navapsvc.exe
navapw32.exe
nisum.exe
nopdb.exe
nprotect.exe
nupgrade.exe
ollydbg.exe
outpost.exe
pavfires.exe
pavproxy.exe
pavsrv50.exe
peid.exe
petools.exe
regedit.exe
reshacker.ex*e
rtvscan.exe
rulaunch.exe
savscan.exe
shstat.exe
sndsrvc.exe
SP00Lsv32.pif
symlcsvc.exe
taskmgr.exe
Update.exe
updaterui.exe
vshwin32.exe
vsstat.exe
vstskmgr.exe
w32dasm.exe
winhex.exe
WinVBS.vbs
wscript.exe
還會嘗試終止視窗標題含有以下字串的程序:
-CILLIN
ADWARE
ALERTS
ANTI
AUTOSTARTED
Avg
BENIGN
BLOCKER
BUG
BULLGUARD
BUSTER
CENTER
CLEANER
CMD
Command
DESTROY
DETECTION
DOCTOR
EARTHLINK
EDITOR
ELIMINATE
EYE
FIGHT
Filter
FIREWALL
FIX
FIXING
HEAL
HELP
HUNTER
KERIO
Kill
LABS
LIVEUPDATE
MALWARE
MALWHERE
MCAFEE
NETCOP
NOD32
NORTON
PANDA
PROCESS!A
PROMPT
PROTECTOR
REGISTRY
REMOVAL
RESTORE
SANDBOX
SCAN
SECURE
SECURITY
SOPHOS
SPY
SPYBOT
SPYWARE
STOPPER
SWEEPER
TASK
TOOL
TREND
Update
VCATCH
VIRUS
WATCH
WORM
當程序被終止時,蠕蟲仍然在記錄體運行期間會防止這些程序再次執行,它並會防止視窗檔案總管瀏覽儲存這個正在執行的蠕蟲程式副本的資料夾。
8. 它嘗試經由 CDs 傳播。蠕蟲會儲存以下檔案到 "C:\Documents and Settings\%Username%\Local Settings\Application Data\Microsoft\CD Burning\ directory":
AUTORUN.EXE
AUTORUN.INF
解決方案
偵測及清除蠕蟲
電腦病毒防護軟件供應商已提供了新病毒清單去偵察及清除此病毒。
如果你沒有安裝任何電腦病毒防護軟件,你可以下載以下清除病毒的工具程式進行清除。
Symantec
http://securityresponse.symante.../FixSflog.exe注意:請根據防毒軟件公司的指引來清除病毒和修復系統。
