7月31日上午,北京江民新科技术有限公司快速病毒监测网首先发现了一种在国内急剧传播的32位格式、感染WINDOWS的PE文件的病毒,并很快又截获了该病毒的变种。目前该病毒有大肆在国内蔓延的势头。此病毒有黑客性质,能在WINDOWS目录下自动生成含有病毒全部代码的病毒体文件mswdm.exe 文件,并修改系统注册表使得系统每次启动,该程序都会被自动执行。
该病毒采用高级语言编写,感染文件后增加的文件的字节数是35840字节,而且该病毒将病毒代码放在被感染的可执行文件的头部,而将正常的可执行文件的代码放在病毒代码的尾部,这一点和其他的病毒是不太一样的:一般的感染可执行文件的病毒都将自身放在被感染的文件的后部,然后修改原可执行文件的头部的入口参数,从而达到感染的目的。
由于病毒可以根据被感染文件修改自身的图标资源,故感染后文件的图标并不改变,只是病毒仅仅使用了32x32的图标而没有使用16x16的图标,因此小图标会改变并且不大容易分辨。目前在国内流行有该病毒的2个变种,名字分别是Win32/Trojan.MSWdm、Win32/Trojan.MSWdm.b,这两个变种增加的文件长度是一样的,但是病毒具体的内容并不完全一致。
在Windows目录中创建的文件是:隐含文件msWDM.exe,并设置成自启动。自启动项键值分别是[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"WDM"="MSWDM.EXE"
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
"WDM"="MSWDM.EXE" 具体的感染方式是将被感染文件放到病毒体的后面,文件的尾部保存有18个字节的感染数据,以便快速恢复原文件。
如果存在C:MSWDM.PRO的文件,就不感染,否则从D:盘开始,通过在逻辑盘的根目录下创建Sys.Try文件是否成功来检测逻辑驱动器是否可写,如果可写,将搜索所有的*.EXE文件并进行感染,最后检查的是C:盘。如果发现有一个盘可以进行感染就会不停地重复检查感染和更新感染数据,可能是病毒的设计缺陷,而不会感染下一个逻辑盘。该病毒比较独特的地方还有该病毒支持命令行选项。其中-e!可以只执行病毒部分,而并不执行被感染文件。该病毒还遍历进程列表,终止一些可能是反病毒软件的进程。
江民反病毒小组已经对此病毒进行分析与查杀,目前已经放入病毒库升级文件中,为了阻止该病毒快速感染,请电脑用户及时升级KV3000杀毒王。
(
