Beyond 工作室论坛 - 木马上报 - [注意]Worm@W32_Sorpe 木马专家2005 专业的防杀木马软件

Worm@W32.Sorpe

发现VBS骇虫的出现，客户需提高警觉，勿随意开启来路不明的信件!

Sorpe是一只邮寄骇虫，它会从一部已经受感染的计算机来散播它本身，并且四处的寄发病毒信件，它还会进入客户的登录档中更改客户的资料。

基本介绍

病毒名称 Worm@W32.Sorpe
病毒别名 Trojan.VBS.Spore [Kaspersky]
病毒型态 Worm , E-Mail , VBS
病毒发现日期 2004/12/17
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003

风险评估

散播程度：高
破坏程度：低

Worm@W32.Sorpe信件格式：

发信者： support@microsoft.com

主旨： < 下列任一个 >
Microsoft Updates News
Security Updates News
Service Pack 2 Updates News
System Updates News
Microsoft Operating System Updates News
Microsoft Security Updates News
Microsoft Update News Letter
Microsoft News
Update News
Microsoft`s big security Update News

内文： < 下列任一个 >
Service pack 2 is due soon for microsoft users, Bug fixes, Internet Explorer patches and NEW security features. Please read more from the file attcahed to this microsoft news letter.

Hello,
I found this vbs file on my pc. But i`m not too sure if it is a virus so i am sending you a copy for safety reasons..!

附加文件： < 下列任一个 >
MsNews.vbs
Scmhlpr.vbs

Worm@W32.Sorpe 行为描述：
注：%Windir%代表系统所在目录，在Win95/98/me系统默认值为 C:\windows

在WinNT/2000/XP/2003系统默认值为 C:\WinNT

注：在Win95/98/me %System% 默认值为 C:\windows\System

在WinNT/2000/XP/2003 %System% 系统默认值为 C:\WinNT\System32

骇虫会在%Windir%运行下列的文件:

System\Win32Reg.reg

System\ActiveUser32.reg

System\MsMisc.reg

System\Winmgmt32.vbs

骇虫会在%System%运行下列的文件:

ActiveUser32.reg

Win32Reg.reg

MsMisc.reg

骇虫会删除桌面上的文件夹以及因特网中"我的最爱"里的资料夹。

骇虫会更改客户登录档中原先IE首页网站，并且将首页更改为成人内容的网站。

病毒运行后，将骇虫本身复制到%Windir%

AppLogs\Applog32.vbs
System\Scmhlpr.vbs

透过病毒运行后，将骇虫本身复制到%System%

Scmhlpr.vbs

病毒运行后，在%Windir%生成

SysLogs\Syslog32.vbs

病毒运行后，在%System%生成

MsNews.vbs
User32.reg
SysReg.reg

病毒运行后，在c:\ProgramFiles 目录生成

WindowsUpdate\Wupdmgr.tmp\Wupdscn.vbs

更改登录档，如此开机即会启动骇虫。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

名称=Spore 值=%System%\MsNews.vbs
名称=Spore.b 值=%System%\Scmhlpr.vbs

更改登录档，如此开机即会启动骇虫。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

名称=DisallowRun 值=1

名称=DisableRegistryTools 值=1

更改登录档，如此开机即会启动骇虫。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

名称=1 值=regedit.exe

名称=2 值=notepad.exe

名称=3 值=wordpad.exe

名称=4 值=write.exe

名称=5 值=wuauclt.exe

更改登录档，如此开机即会启动骇虫。

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

名称=Window Title 值=vbs.Spore.b@mm (c) 2004

骇虫会进入登录档中生成下列的名称:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\SysBIOS

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\SysBIOS\Virii

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\SysBIOS\Virii\Spore.b

骇虫会删除安装任何含有"Script"和"Block"字串名称的程序

主题: [注意]Worm@W32_Sorpe
作者:hotboy	楼主
Worm@W32.Sorpe 发现VBS骇虫的出现，客户需提高警觉，勿随意开启来路不明的信件! Sorpe是一只邮寄骇虫，它会从一部已经受感染的计算机来散播它本身，并且四处的寄发病毒信件，它还会进入客户的登录档中更改客户的资料。基本介绍病毒名称 Worm@W32.Sorpe 病毒别名 Trojan.VBS.Spore [Kaspersky] 病毒型态 Worm , E-Mail , VBS 病毒发现日期 2004/12/17 影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003 风险评估散播程度：高破坏程度：低 Worm@W32.Sorpe信件格式：发信者： support@microsoft.com 主旨： < 下列任一个 > Microsoft Updates News Security Updates News Service Pack 2 Updates News System Updates News Microsoft Operating System Updates News Microsoft Security Updates News Microsoft Update News Letter Microsoft News Update News Microsoft`s big security Update News 内文： < 下列任一个 > Service pack 2 is due soon for microsoft users, Bug fixes, Internet Explorer patches and NEW security features. Please read more from the file attcahed to this microsoft news letter. Hello, I found this vbs file on my pc. But i`m not too sure if it is a virus so i am sending you a copy for safety reasons..! 附加文件： < 下列任一个 > MsNews.vbs Scmhlpr.vbs Worm@W32.Sorpe 行为描述：注：%Windir%代表系统所在目录，在Win95/98/me系统默认值为 C:\windows 在WinNT/2000/XP/2003系统默认值为 C:\WinNT 注：在Win95/98/me %System% 默认值为 C:\windows\System 在WinNT/2000/XP/2003 %System% 系统默认值为 C:\WinNT\System32 骇虫会在%Windir%运行下列的文件: System\Win32Reg.reg System\ActiveUser32.reg System\MsMisc.reg System\Winmgmt32.vbs 骇虫会在%System%运行下列的文件: ActiveUser32.reg Win32Reg.reg MsMisc.reg 骇虫会删除桌面上的文件夹以及因特网中"我的最爱"里的资料夹。骇虫会更改客户登录档中原先IE首页网站，并且将首页更改为成人内容的网站。病毒运行后，将骇虫本身复制到%Windir% AppLogs\Applog32.vbs System\Scmhlpr.vbs 透过病毒运行后，将骇虫本身复制到%System% Scmhlpr.vbs 病毒运行后，在%Windir%生成 SysLogs\Syslog32.vbs 病毒运行后，在%System%生成 MsNews.vbs User32.reg SysReg.reg 病毒运行后，在c:\ProgramFiles 目录生成 WindowsUpdate\Wupdmgr.tmp\Wupdscn.vbs 更改登录档，如此开机即会启动骇虫。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 名称=Spore 值=%System%\MsNews.vbs 名称=Spore.b 值=%System%\Scmhlpr.vbs 更改登录档，如此开机即会启动骇虫。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 名称=DisallowRun 值=1 名称=DisableRegistryTools 值=1 更改登录档，如此开机即会启动骇虫。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun 名称=1 值=regedit.exe 名称=2 值=notepad.exe 名称=3 值=wordpad.exe 名称=4 值=write.exe 名称=5 值=wuauclt.exe 更改登录档，如此开机即会启动骇虫。 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 名称=Window Title 值=vbs.Spore.b@mm (c) 2004 骇虫会进入登录档中生成下列的名称: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\SysBIOS HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\SysBIOS\Virii HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\SysBIOS\Virii\Spore.b 骇虫会删除安装任何含有"Script"和"Block"字串名称的程序
发表时间:2005-2-25 2:25:21


作者:hotboy	第楼
不知道大家到这个病毒没有。所有的杀毒软件都认不出这个病毒。包括我现在用的诺顿也显示不是病毒。显示在系统的进程名称为wuauclt。据说国外已经有这个病毒的专杀工具，不过我找不到。请枫同志帮忙找找解决办法。手工删除步骤麻烦，尽量解释的更清楚一点吧。
发表时间:2005-2-25 2:34:59


作者:枫	第楼
这种是VBS木马一般杀毒软件只针对EXE文件木马专家现在主要是针对EXE DLL　BAT 文件木马查杀 ------------------签名------------------- Beyond 工作室　枫
发表时间:2005-2-25 16:36:23


作者:hotboy	第楼
据说这个木马是用的动态dll链接技术，挂在svchost文件上。这种木马太难杀了，我在注册表里把它的东西都删除了，可再查发现有重新生成了！
发表时间:2005-2-26 13:39:42


作者:hotboy	第楼
关键问题，现在木马专家也对这个病毒没办法。你想想办法吧`~好吧~~ 或者教我们按怎么样的步骤来删~
发表时间:2005-2-26 13:41:17


作者:枫	第楼
新版本0228已经增加对VBS木马查杀 ------------------签名------------------- Beyond 工作室　枫
发表时间:2005-2-28 11:21:01

快速回复
默认支持UBB,如果你不希望支持UBB或要其它功能你可以用高级回复进行编辑	标题内容