病毒名称: Worm.Win32.Otwycal.g
病毒类型: 蠕虫
文件 MD5: 4EB719473F0B2AECB412EC72F879D1B7
危害等级: 5
文件长度: 15,148 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: WinUpack 0.39
1、该病毒属蠕虫类,病毒运行后复判断进程列表中是否存在smss.exe进程,若不存在程序退出模块;
2、判断程序是否为%DriveLetter%MSDOS.bat,若是用资源管理器打开该驱动器后返回;
3、删除文件%Windir%Tasks�x01xx8p.exe后,将自身移动到该位置,并更改为该文件名;
4、检测进程中是否有avp.exe进程,如果有,修改系统时间为2004年1月1日9时1分,使卡巴主动防御过期失效,且每4000ms重新设置一次时间;
5、修改当前进程的令牌权限,复制%System32%spoolsv.exe到%Windir%Taskspoolsv.ext;修改%Windir%Taskspoolsv.ext,将最后一个节(.rsrc)节名改为.wycao,并在该节尾部写入病毒代码,复制%System32%spoolsv.exe到%System32%dllcachespoolsv.exe,移动%System32%spoolsv.exe到%Windir%Taskspoolsv.brk移动修改后的%Windir%Taskspoolsv.ext到%System32%spoolsv.exe,移动成功后退出,否则删除文件%System32%spoolsv.exe;移动修改后的%Windir%Taskspoolsv.ext到%System32%spoolsv.exe;
6、查找进程列表如果有avp.exe、kvsrvxp.exe、kissvc.exe进程,将其结束;
7、判断进程中是否有explorer.exe1进程,若存在使其崩溃;
8、创建线程连接网络下载35个病毒文件,一个为arp扫描工具,一个添加新用户,其他均为盗号工具;
9、试图创建线程对各类文件进行感染,未能成功;
10、复制自身到各驱动器根目录下,更名为MSDOS.bat,并衍生配置文件autorun.inf;
11、衍生zzz.sys到系统启动器根目录下,创建服务启动该文件后删除该文件,并将服务设置为禁用。
