Worm.Torvil.d

病毒别名:I-Worm.Torvil.d[Kaspersky] W32.HLLW.Torvil@mm[Symantec] Worm.Torvil.d[瑞星]
  处理时间:
  威胁级别:★★
  中文名称:托弗
  病毒类型:蠕虫
  影响系统:Win9x/Win2000/WinXP
  病毒行为:
  编写工具:
  DELPHI编写,采用ASPACK压缩
  传染条件:
  A、该蠕虫通过它自带的SMTP引擎发送带毒邮件,邮件中的HTML代码还利用"incorrect MIME type"漏洞来入侵系统.
  可能的邮件主题:
  congratulations!
  darling
  Do not release, its the internal rls!
  Documents
  Pr0n!
  Undeliverable mail--
  Returned mail--
  here?s a nice Picture
  New Internal Rls...
  here?s the document
  here?s the document you requested
  here?s the archive you requested
  邮件主题还会使用“答复发件人”的方法发送
  可能的附件名称:
  yourwin.bat
  probsolv.doc.pif
  flt-xb5.rar.pif
  document.doc.pif
  sexinthecity.scr
  torvil.pif
  win$hitrulez.pif
  sexy.jpg
  flt-ixb23.zip
  readit.doc.pif
  document1.doc.pif
  attachment.zip
  message.zip
  Q723523_W9X_WXP_x86_EN.exe
  B、还利用KaZaA点对点软件的共享文件和IRC来传播,病毒在利用KaZaA工具时会拷贝自身到该工具的共享文件夹中;
  C、使用弱密码探测局域网中的其它电脑系统,成功后会拷贝一个名为Remainder.exe的文件到被破解的电脑系统。
  发作条件:
  系统修改:
  A、复制自身到WINDOWS安装目录;
  %Windir%schost.exe
  B、使用随机文件名复制自身到WINDOWS安装目录;
  %Windir%spool<随机字符串>.exe
  %Windir%SMSS<随机字符串>.exe
  C、会在C盘根目录生成文件Torvil.log;
  D、添加键值
  "Service Host"="%Windir%.exe"
  到注册表中
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
  以便病毒可随机自启动
  E、病毒在注册表中创建下面的键值来储存它自己的配置信息:
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedOneLevelDeeperTorvilDB
  它给下面这个键赋值"TORVIL",并以此来储存它的副本的文件名:
  TORVIL="spoolhv.exe"
  F、在Windows NT/2K/XP中,下面的键值也会被修改:
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell = "Explorer.exe spoolhv.exe"
  此外,在Windows 9x系统中,WIN.INI的运行关键字被改为%Windowsspoolhv.exe,:
  [windows]
  run=%Windows%spoolhv.exe
  (注意:"spoolhv.exe"只是对病毒生成的文件的一个举例,它真实的名字可能是"spool??.exe"或SMSS??.exe"。)
  G、它还会修改与exe、com、pif、scr、cmd、bat的关联,当运行这些文件时会先运行病毒
  HKEY_CLASSES_ROOTatfileShellopencommand(默认) = "%Windows%svchost.exe "%1" %*"
  HKEY_CLASSES_ROOTcmdfileShellopencommand(默认) = "%Windows%svchost.exe "%1" %*"
  HKEY_CLASSES_ROOTcomfileShellopencommand(默认) = "%Windows%svchost.exe "%1" %*"
  HKEY_CLASSES_ROOTexefileShellopencommand(默认) = "%Windows%svchost.exe "%1" %*"
  HKEY_CLASSES_ROOTpiffileShellopencommand(默认) = "%Windows%svchost.exe "%1" %*"
  HKEY_CLASSES_ROOTscrfileShellopencommand(默认) = "%Windows%svchost.exe "%1" /S"
  H、病毒通过修改下面键值来禁止用户进入注册表编辑器:
  HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools = 0x1
  发作现象:
  A、病毒运行时会显示以下对话框;
  (图1)
  B、中止知名杀毒软件的进程和个人网络防火墙进程;
  特别说明:
编辑/发表时间:2009-05-30 04:56
编辑词条如何编辑词条?)                          历史版本

资料出处:
贡献者:
狄志军林灏