小心Shoho网络蠕虫病毒

网络与通信

沧浪客

编者按：在人们欢度新年之际，又一种蠕虫病毒开始兴风作浪。它就是英文名为Worm_Shoho.A或Welyah、中文名叫“笑哈哈”的病毒。该病毒于去年12月20日首先出现在亚洲，然后开始向欧洲和美洲传播，在中国目前也有许多用户中毒，因此应引起我们高度重视。

一、病毒简介

该病毒是用Visual Basic编写的，病毒文件大小为110592字节。它是一种基于Windows的常驻内存型病毒，通过E-mail方式传播，利用IE的漏洞自动执行，并向Microsoft Outlook地址簿中的邮箱反复发送自身，还会随机删除当前目录下的文件，造成系统不能启动。
该网络蠕虫不使用Outlook程序设置的SMTP(发送邮件服务器)来发送邮件，而是使用自身的SMTP引擎来发送E-mail带病毒信件。
含有病毒的信件的格式如下：
信件的主题是：Welcome to Yahoo！Mail
信件的内容是：
This messages a character set that is not supported by the Internet Service. To view the original message content，open the attached message.If the text doesn’t display correctly，save the attachment to disk，and then open it using a viewer that can display the original character set.(大意是：互联网不支持本邮件的字符集，请打开附件查阅邮件内容，如果显示的字符不正确，将附件存到硬盘上，然后使用相应的软件查阅。)
信件的附件文件名称是：readme.txt…….PIF。乍一看来好似readme.txt文件，其实它的真正扩展名是.PIF(一种32位的PE文件格式)。该蠕虫病毒利用的是MS01-020 Iframe漏洞，一旦预览或打开邮件，其附件程序readme.txt…….PIF就会自动运行。该病毒作者非常狡猾，他将这个附件的两个扩展名称txt和PIF之间输入了长达125个空格，一般人很难发现还有PIF扩展名存在。

二、笑哈哈病毒特点

该网络蠕虫程序的破坏性表现在会随机删除当前目录下的文件。由于网络蠕虫将该病毒文件存放在Windows的目录下，因此会随机删除Windows下的系统文件，病毒修改的注册表键值如下。
如果用户打开附件，它会将自身拷贝至Windows及Windows\System目录下，更名为Winl0g0n.exe(注意：0是数字零而非字母“O”)，同时可能在本地系统进行添加或删除文件。并修改注册表，添加到：
(1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]Winl0g0n.exe="c:\windows\Winl0g0n.exe"；
(2)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]Winl0g0n.exe="c:\windows\Winl0g0n.exe"；
(3)HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]Winl0g0n.exe="c:\windows\Winl0g0n.exe"。
由此使得染毒机器每次启动Windows操作系统时，该病毒都将运行。感染病毒的计算机的Windows目录下还将增添email.txt、emailinfo.txt、drwatson、drwatson\frame.htm等文件。email.txt文件当中包含有准备发往SMTP服务器的邮件，同时email.txt也是一个MIME文件，它包含Winl0g0n.exe的Base64编码及Iframe漏洞代码。此蠕虫有它自己的SMTP引擎，能够建立SMTP连接，通过搜索注册表获得本地系统上使用的SMTP服务器地址或者使用该蠕虫体内含的一份SMTP服务器地址：210.177.111.18，域名是mail.* * * * *speed.com.hk。
它还会查找硬盘中所有包含邮件地址的文件，如：.eml、.wab、.dbx、.mbx、.xls、.xlt、.mdb，一旦找到便会保存在emailinfo.txt文件当中。然后向保存在该文件中的所有地址发送主题为“Welcome to Yahoo！ Mail”的邮件。
当系统重新启动时，Winl0g0n.exe文件将会自动执行，并可能导致常规性保护错误，而同时由于一些文件被删，系统可能无法正确启动Windows，这种情况在Windows9x上会出现，而在WinNT系统上还未遇到。但在任何系统上，例行的收发邮件都可能会不正常。

三、如何判断你的机器是否中毒

查看一下Windows、System目录下是否有Winl0g0n.exe(大小为110592字节)及以下文件：email.txt、emailinfo.txt、frame.htm。若有，说明你中毒了。
以下为病毒可能添加的文件列表(Windows9x系统)：email.txt、emailinfo.txt、drwatson、%windir%\drwatson\frame.htm、%winsysdir%\winlogon.exe、%windir%\winl0g0n.exe。

四、笑哈哈(Shoho)病毒清除方法

由于该病毒会修改、删除文件，所以手工清除将非常麻烦，建议使用杀毒软件查杀。如果你没有合适的杀毒软件，可以使用金山毒霸提供的免费软件清除病毒：毒霸笑哈哈专杀工具，下载地址：ftp://www.iduba.net/download/othertools/Duba_Shoho.exe。
编后：我们已经处在一个危险的“后病毒时代”，病毒黑客化是目前流行病毒的一个主要趋势和发展方向，计算机病毒越来越倾向于利用系统的漏洞来控制染毒机器进行自动传播，使计算机使用者不易察觉。我相信在新的一年里一定会有集去年流行的各大病毒特点于一身的、更为厉害的病毒出现，它不仅会利用系统漏洞传播，而且传播方式多样化并会有新的突破，更有强悍的自我保护方式和十分恶毒的破坏方式。无疑反病毒软件将会任重而道远！