近日,金山公司反病毒应急中心的国际病毒监测网捕获到一种新的能够攻击微软.Net架构的新型病毒Win32.Sharpei.12288。此病毒是由一个荷兰的十七岁女孩用微软的C#语言进行编写的。目前该病毒刚刚在国外出现,传播速度缓慢,虽然在国内尚未出现,但代表了未来微软.Net病毒的发展方向,因此应引起广大用户的注意。
根据技术人员分析,此病毒又是一个攻击微软即将发布的.Net体系的病毒,利用了.Net的标准语言C#编写,是一个多体程序,分别采用C#,ASM,VBS三种语言写成的三个程序配合工作,而且它伪装成微软的补丁向外发送,极具迷惑性。
Sharpei病毒的主要技术特征如下:
病毒名:Win32.Sharpei.12288
病毒性质:邮件病毒
邮件特征:
主题为: Important: Windows update
正文为: Hey, at work we are applying this update because it makes Windows over 50% faster and more secure. I thought I should forward it as you may like it.
附件名为: MS02-010.EXE
病毒特征:
病毒运行时会将自己复制到C盘的根目录,名字为MS02-010.EXE。同时会在当前目录生成Sharp.VBS文件,并运行之,如果病毒发现了Microsoft的.Net组件,它将释放一个CS.EXE文件到Windows目录并运行。该文件运行时会显示标题为"Sharp",内容为"You‘re infected with Win32.HLLP.Sharp, written in C#, by Gigabyte/Metaphase"的对话框。如图:
此病毒还会在注册表中添加键值HKLM/Software/Sharp,记录病毒最初运行的文件名。
这个新出现的.Net病毒是由一个荷兰的女病毒作者Gigabyte所写(病毒体内有作者的标识),她使用了三种语言:C#、ASM、VBS完成这个病毒。主体部分病毒是用ASM(汇编)写的,仅用于释放另两个病毒体。其中的VBS部分,长度为754字节,使用MAPI通过发邮件完成病毒的传播,而释放的另外一个病毒体CS.EXE,长度7680字节,正是用C#语言写的。但如果缺少.NET组件,它不会被运行。
