广告：
网页制作参考
千千学园
雨路开发频道
雨路技术文档
技术问答
编程技术

2003.09.01捕获到“秋天童话”(Worm.Pereban，又称作“秋天的童话”I-Worm/AutoFairy)病毒。该病毒主要通过电子邮件进行传播，并具有强烈的政治倾向。并针对英文系统作了一些恶作剧性质的攻击动作。

　　仅仅两天的时间，又捕获到该病毒的一个新的变种。

　　特此提醒广大用户，如果接收到邮件主题为“秋天的童话”的邮件，不要打开邮件的附件，避免中毒。

　　以下为此病毒相关的技术细节分析报告：

　　 病毒名称：Worm.Pereban

　　病毒类型：蠕虫

　　病毒长度：61440

　　危害级别：中（3级）

　　传播速度：中（3级）

　　病毒特征:

　　 该病毒使用VB编写,文件特征看起来更象是PIC图象文件，其实是一个可执行文件。搜索OE的联系人来发送病毒邮件。具有强烈的政治倾向。并针对英文系统作了一些恶作剧性质的攻击动作。需强调的是，大概病毒作者在对于该病毒设计时只考虑了9x平台，因此该病毒严格意义上讲并不是一个Win32病毒，而仅仅是一个Win9X病毒。在Win2000/xp/2003平台上运行无法进行进一步的向外传播、破坏等行为。在Win20000/xp/2003上也可以运行，但只有在安装有IE的Win95以及Win98用户的机器上才能执行病毒的向外传播以及相应的破坏动作。

　　 技术细节：

　　0、病毒在win9x系统下可隐藏进程。

　　1、病毒添加注册表启动项，修改INI文件关联

　　 病毒在添加注册启动项时很独特，它不是在起动启项中添加新值，而是覆盖起动项的默认键值，如下所示：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\currentVersion\Run

　　@= "?

　　 (注：空格为ASCII码为0xff的字符）

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

　　@ = "(未设置键值)"

　　 修改INI文件关联

　　HKEY_CLASSES_ROOT\inifile\shell\open\command"

　　@ = %WinDir%\Temporary Internet Files\病毒复本 %1

　　 病毒复本的名字可能为：

　　"Myphoto?jpg.exe"

　　"Islove?jpg.exe"

　　"Helpme?jpg.exe"

　　由于病毒编写时的的一个bug，造成INI文件关联实际上无法成功，但对INI文件原先的关联已经造成破坏，导致双击INI文件是会出现一个选择用于打开文件的文件定位对话框。

　　 2、自我复制到系统目录(%system%)，文件名固定为：
"?exe"

　　 "(未设置键值).exe"

　　 (注：空格为ASCII码为0xff的字符）

　　 随机使用三种文件名，复制病毒复本到IE的临时文件存放目录里：

　　 "%

　　 \Temporary Internet Files\Myphoto?jpg.exe"

　　 "\Temporary Internet Files\Islove?jpg.exe"

　　 "\Temporary Internet Files\Helpme?jpg.exe"

　　 3、病毒会覆盖"%WinDir%\SAMPLES\WSH\Network.vbs"文件。该程序会搜索OE地址薄里的联系人来发送病毒邮件，邮件的附件使用IE临时文件存放目录里的病毒样本。

　　 另：病毒在发送邮件时会使用PING指令访问网络，如鸓ING指令获得的信息表示网络畅通，病毒才会进行邮件发送。并且“Network.vbs”使用完后会被病毒删除。

　　邮件主题：秋天的童话

　　邮件内容：曾经有一份真诚的爱情摆在我面前,可是我没有去珍惜......如果上天再给我一次机会的话,我会......"

　　附件文件名可能为：

　　Myphoto?jpg.exe"

　　Islove?jpg.exe"

　　Helpme?jpg.exe"

　　4、病毒在12月24日开始发作，发作现象如下：

　　病毒覆盖 "%WinDir%\SAMPLES\WSH\Registry.vbs"文件，该文件修改如下注册表，使得IE的标题栏显示“中华人民共和国万岁”。

　　HLKM\Software\Microsoft\Internet Explorer\Main\

　　"Window Title" = "中华人民共和国万岁"

　　HLKM\Software\Microsoft\Windows\CurrentVersion\

　　"RegisteredOwner" = "秋天的童话"

　　然后搜索系统中所有可写的驱器，包括网络驱动器，查找所有的“asp shtml htm html”文件，并使用一段代码添加到这些文件末尾。这段代码会弹出两段对话框，分别为

　　内容："No War!Peace Banzai!"

　　标题："Autumnal Fairy Tale"

　　内容："Format Your Hard-Disk......"

　　标题："System Error!"

　　这些操作对系统无害，都是恶作剧性质的。

　　 在判断系统默认国家为“United States”时，病毒会弹出一系列政治倾向浓烈的对话框询问用户问题，

　　根据受害者不同的选择，病毒会不停的打开光驱和关闭光驱，并恶作剧性质的打开许多IE浏览器访问网址http://mincer.top263.net 这个操作有可能导致死机。病毒也会通过不同的选择病毒会创建文件"%WinDir%\WinStart.bat"

　　内容为：

　　"@ECHO In Process Of Format Your Hard-Disk......"

　　"@ECHO C:\>Format C:\"

　　"@ECHO ................"

　　":USA"

　　"GOTO :USA"

　　再打开 "C:\Autoexec.bat" 文件，写入以下内容：

　　"@ECHO Warning! illegal access error!"

　　"@ECHO a fatal BIOS error,be incapable of data to load......"

　　":USA"

　　"GOTO :USA"

　　再此过程中，病毒会有条件的跳转到关机的指令中。

　　如果为非“United States"系统时病毒会直接弹出几个政治倾向浓烈的对话框，并在最后，打开许多IE浏览器访问网址http://mincer.top263.net

　　5、病毒会将自己伪装为“Outlook Express”程序。

　　 病毒的文件名发布为msimn.exe，并且故意设置使得病毒的版本声明看起来是一个完整的微软Outlook Express程序，有区别的地方只有两个，就是版本声明中的内部名称是："Bingdu"，同时有源文件名为："Bingdu.exe"，通过这两个地方就可以很清晰的识别出这并非微软的Outlook Express程序。