病毒别名:I-Worm.Stepaik.c[AVP]
处理时间:
威胁级别:★★
中文名称:
病毒类型:蠕虫
影响系统:Win9x/WinNT/Win2K/WinXP/Win2003
病毒行为:
编写工具:
传染条件:通过邮件和网络共享传播,伪装成工具文件,诱使用户运行。
发作条件:用户运行。
系统修改:
A、将自身复制到:
%System%WIN%rand%.EXE
B、在注册表主键中
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
添加如下键值:
"System Recovery Agent"="%System%WIN%rand%.EXE"
%rand%为长度4的任意字符串
发作现象:
A、尝试注入EXPLORER.EXE进程
B、通过注册表
HKEY_LOCAL_MACHINESoftwareKazaaLocalContent
"DownloadDir"
获得Kazaa的共享路径。
并将自身用以下的文件名,复制到该文件夹内:
"dotnetfx.exe"
"donald_duck.pif"
"mickey_mouse.pif"
"bush&benladen.jpg.exe"
"avril.pif"
"funnypic.jpg.exe"
"WinXPHotfix71.exe"
"KazaaXPSetup.exe"
"ICQ2003b.exe"
"setup.exe"
"WinUpdate.exe"
"titanium.jpg.exe"
"rain.jpg.exe"
"note.doc.exesetup.exe"
C、使用TCP 2026端口作为代理服务。
D、发送带有病毒附件的邮件 。
特别说明: