Worm@W32.Jalabed

Jalabed 骇虫会搜寻网络磁盘散播病毒复本，防止客户连结安全性网站

Jalabed 骇虫透过电子邮件和mIRC频道散播病毒，也会搜寻网络磁盘并且散播病毒复本，此骇虫具有开启后门能力、和防止客户连结安全性网站，使客户无法得知病毒消息和解决方法。

基本介绍

病毒名称	Worm@W32.Jalabed
病毒别名	W32.Jalabed@mm[symantec]
病毒型态	Worm , E-Mail , Backdoor
病毒发现日期	2006/02/10
影响平台	Windows 95/98/ME , Windows NT/2000/XP/2003

风险评估

散播程度：高

破坏程度：中

Worm@W32.Jalabed信件格式：

发信者： < 随机 >

主旨： < 下列任一个 >
A Sexy Thing!
Very Hot!
Sexy Girl
Nancy Ajram live!
Hot Movie And Pic
Sexy Arabic Girl
Sex Sex Sex
Oh yeahh thats hot
Very hot and sexy girl in this video
Sexy Nancy Ajram

内文：
Check it out nigger!

附加文件： < 下列任一个 >
SexyLebaneseGirl.jpg.exe
SexMovie.mpg.exe
SexyNancy.jpg.exe
MissLebanon.jpg.exe
HotMovie.wma.exe
..............

Worm@W32.Jalabed 行为描述：

注：%Windir%代表系统所在目录，在Win95/98/me系统默认值为 C:\windows

在WinNT/2000/XP/2003系统默认值为 C:\WinNT

注：在Win95/98/me %System% 默认值为 C:\windows\System

在WinNT/2000/XP/2003 %System% 系统默认值为 C:\WinNT\System32

更改下列文件，以致可以透过mIRC散播：

C:\mirc\script.ini

搜寻网络磁盘并且散播病毒复本。

添加下列说明至主机文件，以防止访问安全性网站：

127.0.0.1 macafee.com

127.0.0.1 sophos.com

127.0.0.1 avp.com

127.0.0.1 ca.com

127.0.0.1 customer.symantec.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 download.mcafee.com

127.0.0.1 f-secure.com

127.0.0.1 kaspersky.com

127.0.0.1 liveupdate.symantec.com

..................

病毒运行后，在%Windir%生成

Libancall14@hotmail.de.txt
netflood.bat

病毒运行后，在%System%生成

NancyAjram.exe

病毒运行后，在C:\dlls\ 目录生成

SexyLebaneseGirl.jpg.exe
SexMovie.mpg.exe
SexyNancy.jpg.exe
MissLebanon.jpg.exe
HotMovie.wma.exe
FuckMovie.wma.exe
MyFirstSex.wma.exe
SexyHaifa.jpg.exe
SexyArabicGirl.jpg.exe
ArabicStrip.wma.exe
StolenSexVideo.wma.exe
SexCaptured.jpg.exe
FuckFuckFuck.mpg.exe
mailit.vbs
WindowsScreen.vbs

病毒运行后，在 C:\ 目录生成

Security.vbs

更改登录档，如此开机即会启动骇虫。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"Ya Salam" = "%System%\NancyAjram.exe"

更改登录档，使登录档编辑程序失效。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Policies\System

"DisableRegistryTools" = "1"