病毒名称： Email-Worm.Win32.Zhelatin.cq
中文名称： 泽拉丁
病毒类型： 蠕虫
文件 MD5： 4856147154c0ecb3387a0f4080d36ea9
公开范围： 完全公开
危害等级： 高
文件长度： 51,342 字节
脱壳后长度：1,419,264 字节
感染系统： Win98以上系统
开发工具： Microsoft Visual C++
加壳工具： 未知壳

　　该病毒属蠕虫类，该病毒运行后，病毒在当前目录下衍生一个随机命名的病毒副本，并在
系统文件夹下衍生sys文件，采用ring0技术进行hook操作，而后构造带有病毒副本的垃圾邮件
以传播自身。

本地行为：

1 、文件运行后会释放以下文件：

　　　　%System32%\wincom32.sys 　　　　　　　　　　　　54,016字节
　　　　%System32%\wincom32.ini 　　　　　　　　　　　　13,029字节
　　　　在当前文件夹下释放SQl4cUx.exe(随机7位病毒名) 　 37,747字节 　　　　　　　　

2、新增注册表项：

　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32]
　　　　注册表值： Type
　　　　类型: REG_DWORD
　　　　值： 00000001

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32]
　　　　注册表值： Start
　　　　类型: REG_DWORD
　　　　值： 00000002

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32]
　　　　注册表值： ErrorControl
　　　　类型: REG_DWORD
　　　　值： 00000001

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32]
　　　　注册表值： ImagePath
　　　　类型: REG_EXPAND_SZ
　　　　值： \??\C:\WINDOWS\system32\wincom32.sys

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32]
　　　　注册表值： DisplayName
　　　　类型: REG_SZ
　　　　值： wincom32
　　　　描述：创建服务，添加注册表值，加载wincom32.sys文件对ZwEnumerateKey、
　　　　　　　ZwEnumerateValueKey、ZwQueryDirectoryFile三个系统函数进行
　　　　　　　Hook操作

网络行为：

构造带有病毒副本的垃圾邮件用来传播自身
　　　　（1）、邮件主题从下列字符串表中选取：
　　　　'USA Declares War on Iran'
　　　　'USA Missle Strike: Iran War just have started'
　　　　'Missle Strike: The USA kills more then 20000 Iranian citizen'
　　　　'Missle Strike: The USA kills more then 1000 Iranian citizens'
　　　　'Missle Strike: The USA kills more then 10000 Iranian citizen'
　　　　'Israel Just Have Started World War III'
　　　　'USA Just Have Started World War III'
　　　　Iran Just Have Started World War III'
　　　　（2）、附件名从下列符串列表中选取，大小为 51,342 字节：
　　　　'More.exe'
　　　　'Read More.exe'
　　　　'Click Here.exe'
　　　　'Click Me.exe'
　　　　'Read Me.exe'
　　　　'Movie.exe'
　　　　'News.exe'
　　　　'Video.exe'
　　　　（3）、伪造下列发信人从下列字符串中选取：
　　　　'Zenia'、'Zoe'、'Zilya'、'Xenia'、'Xylia'、'Xandra'、
　　　　'Willa'、'Wendy'、'Vicky'、'Vivian'、'Violet'、'Valora'、
　　　　'Vanessa'、'Valda'、'Ula'、'Uma',、'Sharon'、'Silver'、
　　　　'Rosa'、'Ruby'、'Rita'、'Rae'、'Rachel'、'Queen'、'Peggy'、
　　　　'Pamela'、'Olivia'、'Olga'、'Nicole'、'Naomi'、'Natalie'、
　　　　'Nora'、'Nina'、'Nova'、'Nadia'、'Maia'、'Mary'、'Melody'、
　　　　'Mimi'、'Myra'、'Linda'、'Lisa'、'Lolita'、'Lynn'、'Laura'、
　　　　'Lara'、'Kara'、'Kassia'、'Kyle'、'Kali'、'Kacey'、'Katrina'、
　　　　'Janet'、'Jewel'、'Joanna'、'Juliet'、'Julie'、'Ida'、
　　　　'Idona'、'Isabel'、'Iris'、'Ivana'、'Ivory'、'Helga'、
　　　　'Holly'、'Haley'、'Gloria'、'Gilda'、'Gale'、'Faith'、
　　　　'Emily'、'Evelyn'、'Eve'、'Erika'、 、'Eliza'、'Eden'、
　　　　'Ebony'、'Donna'、'Dora'、'Doris'、'Diana'、'Danielle'、
　　　　'Daria'、'Damita'、'Camille'、'Cara'、'Carla'、'Carmen'、
　　　　'Clarissa'、'Chelsea'、'Caitlin'、'Bettina'、'Blenda'、
　　　　'Bridget'、'Briana'、'Bella'、'Becky'、'Barbra'、'Aldora'、
　　　　'Alysia'、'Amorita'、'Aretina'、'Ara'、'April'、'Anita'
　　　　（4）、 关闭包含下列字符串的程序进程：
　　　　'mcafee'、'taskmgr'、'hijack'、'f-pro'、'lockdown'、
　　　　'msconfig'、'firewall'、'blackice'、'avg'、'vsmon'、
　　　　'zonea'、'spybot'、'nod32'、'reged'、'rav'、'nav'、
　　　　'avp'、'troja'、'viru'、'anti'、'alsys'
　　　　（5）、伪造的邮件服务器为 yahoo.com

注：　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32 　　　　　　　

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　 (1) 重新启动电脑到安全模式下。　　
　 　 (2) 使用安天木马防线扫描全盘。
　 　 (3)恢复病毒修改的注册表项目，删除病毒添加的注册表项：
　 　 (4) 删除病毒衍生的病毒文件

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net