Worm@W32.Lodear

Lodear 駭蟲會下載遠端檔案和配置檔案,並感染 EXPLORER.EXE 程序

Lodear 駭蟲透過自己的SMTP引擎大量散播,此駭蟲會感染 EXPLORER.EXE 程序,並試圖下載遠端檔案和配置檔案,也會連結到一些可疑的網站。

基本介紹

病毒名稱 Worm@W32.Lodear
病毒別名 W32/Bagle.dk [McAfee], Troj/BagleDl-W [Sophos], TROJ_BAGLE.AB [Trend Micro],W32.Lodear.A@mm[symantec]
病毒型態 Worm , E-Mail
病毒發現日期 2005/11/02
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估

散播程度:高
破壞程度:低

Worm@W32.Lodear信件格式:

發信者: < 隨機 >

主旨: < 隨機 >

內文: < 隨機 >

附加檔案: < 下列任一個 >
Health_and_knowledge.zip
max.zip
The_new_prices.zip
Info_Prices.zip
text_sms.zip
Business.zip
Business_dealing.zip
[RANDOM NAME].zip


Worm@W32.Lodear 行為描述:

註:在Win95/98/me %System% 預設值為 C:\windows\System

在WinNT/2000/XP/2003 %System% 系統預設值為 C:\WinNT\System32

  • 駭蟲會感染 EXPLORER.EXE 程序。

  • 駭蟲試圖連結下列網站:

    • [http://]www.aro-tec.com/[REMOVED]/w.php

    [http://]sarancha.ru/[REMOVED]/w.php

    [http://]home.1000km.ru/[REMOVED]/w.php

    [http://]www.stanislawkowalczyk.netstrefa.com/[REMOVED]/w.php

    [http://]1st-new-orleans-hotels.com/[REMOVED]/w.php

    [http://]www.OTT-INSIDE.de/[REMOVED]/w.php

    [http://]lifejacks.de/[REMOVED]/w.php

    [http://]25kadr.org/[REMOVED]/w.php

    [http://]africa-tours.de/[REMOVED]/w.php

    [http://]wunderlampe.com/[REMOVED]/w.php

    ...................

  • 駭蟲會產生下列資料夾,並下載遠端執行檔和其他配置檔案:

    • %Windir%\exefld

  • 透過自己的SMTP大量發送病毒信件。

  • 透過病毒執行後,將駭蟲本身複製到%System%

    • hloader_exe.exe

  • 病毒執行後,在%System%產生

    • hleader_dll.dll

  • 修改登錄檔,如此開機即會啟動駭蟲。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    "auto__hloader__key" = "%System%\hloader_exe.exe"

  • 修改登錄檔,如此開機即會啟動駭蟲。

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    "auto__hloader__key" = "%System%\hloader_exe.exe"