专家谈　Worm.BlackDay 病毒分析报告
2007-04-30   赛迪网

今日一朋友问起“末日阴影”，还以为是哪部好莱坞大片，细看下来，原来就是Worm/BlackDay这个“老”蠕虫。其实这个蠕虫在四月初就出现了，被冠了这么个噱头名字。

目前这个病毒会影响到除Windows Vista外所有的Windows版本。病毒程序运行后会破坏正常文件，感染网页文件，通过MS06-014和MS07-017漏洞传播, 且被病毒破坏的文件无法修复，这点比较危险。

1、当系统中毒后，所有可执行文件图标都变成了一个黑色炸弹的图标，如下图：

用户一旦感染该病毒，电脑会自动弹出一个病毒作者的留言框：

2、病毒体内有如下字样：

I can't change my sanguinary inbeing,never.I canfeel that the tears come by my face.Kill 
my self is the best,maybe.so Please.
My Name:wswhacker My age:17
I feeling free when I am not in prison.Can you feel my word?

（但此段文字在不同的版本里会有些许不同。）

3、该病毒会遍历本地磁盘、可移动磁盘等存贮介质，发现有*.asp *.aspx *.php *.jsp *.htm *.html扩展名的脚本文件时进行感染：

在这些网页脚本文件中插入一个Iframe标签，添加恶意网址引用：

(iframe src="hxxp://www.d***youxi.net/Black-Day.htm" width=0 height=0)(/iframe)

（既然病毒目标是所有本地磁盘，查杀时就要注意全盘扫描。）

4、发现如下扩展名的文件时，将病毒体内容覆盖到文件首部，使文件被破坏，无法恢复：

.exe .msc .dll .scr .pif .com

发现如下扩展名的文件时跳过：

.lnk

对于其他文件，当文件大小小于258048(病毒体大小)时，覆盖文件，否则跳过。感染后的文件末尾加如下感染标志：wswhacker。

5、在每个磁盘根目录下创建如下病毒文件，双击盘符时激活病毒：

autorun.inf
BLACK-DAY.EXE

此病毒虽然对文件的破坏力比较强，好在传染性一般。目前还没有大规模的中毒报告。

建议开启文件、网页等监控，可以随时监控病毒对上述文件实施的更改操作。插入移动存储后，扫描移动磁盘后再运行文件。

【提示：为安全起见，文中用“*”代替了部分网址，并更改了Iframe标签格式。】