病毒名称:Trojan.Billrus.Texto
发现日期:2001/6/29
大小: 36,864 字节
该木马驻留内存,文件的图标看起来就是一个普通的文本文件。每个10分钟,木马检测A驱中是否有磁盘存在,如果有磁盘存在,木马将删除足够的文件以保证能够将自身拷贝到该软盘中,同时还有其他的必须文件。
该木马删除下列文件,然后用自身的副本替换它们。
Attrib.exe, Edit.com, Format.com, Deltree.exe, Ed.cab, Mscdex.exe, Appwiz.cpl,
Attrib.com, and Deltree.com.
该木马能够更改它的文件名为18个不同名字中的一个:
如 Readme.exe, Gratis.exe, Leeme.exe, Trucos.exe, Texto.exe, Notas.exe, Free.exe,
Aviso.exe, Demo.exe, Software.exe, Shareware.exe, Chistes.exe, Leer.exe, Datos.exe,
Documento.exe, Freeware.exe, Password.exe, or Clave.exe。
第一次运行时,木马会启动记事本并显示木马作者的EMAIL地址。木马通过向注册表中添加一个值,以保证能够在系统每次启动后都运行该木马。当木马被激活30次后,它将删除C盘上的所有文件,并显示一个标题为Uruguay的消息框,其中包含文字:Billrus。
该木马用VB编写,当运行时,会执行下列工作:
1、将自身副本拷贝到任何软盘上,要求有VB运行时间的动态连接库文件运行,木马把该.DLL文件的
属性设为系统、隐藏和只读,这样就不容易被删除。
2、将自身拷贝到WindowsSystemRundii32.exe。
3、访问Regedit.exe(注册表文件),当注册表编辑器没有真正打开时,只要木马运行,用户就不能运行注册表编辑器。
4、添加注册键值:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
值:Shell WindowssystemRundii32.exe