病毒名称:VBS.Irok.Trojan.Worm
其它名称:HLLP.10000,HLLP.Irok,VBS/Irok.Worm,Krile
病毒属性:蠕虫病毒 危害性:低危害 流行程度:低
具体介绍:
Irok 是一个通过微软Outlook 电子邮件传播的蠕虫,它同时还具有病毒的破坏行为。
该蠕虫附在e-mail 中进入用户的系统,e-mail 的主题为:
"I thought you might like to see this."
e-mail 的主要内容为:
"I thought you might like this. I got it from paramount pictures website.
It's a startrek screen saver."
在e-mail中附带着一个名为 Irok.exe 的可执行文件,但是没有可显示的图标。当附件文件被运行,屏幕将显示一个飞行的星空模拟图像。在系统后台,蠕虫将自身拷贝到C:WindowsSystem 目录,并在C:WindowsStart MenuStartup 目录下生成一个名为Irokrun.vbs 的文件(文件长度862字节),另一个是在C:WindowsSystem 目录下的WinRDE.DLL文件。
蠕虫试图删除不同的反病毒软件的病毒特征文件或校验文件,以便停止反病毒软件的检测和清除操作,并可以感染其它的可执行文件。该蠕虫的传染部分是一个16bit 的DOS病毒,但是它会感染所有的可执行文件,且不管这些文件是在何种操作平台上运行的可执行文件,在很多情况下,这些文件会被破坏,且可能无法修复。
为了执行,蠕虫需要安装Windows Scripting Host (WSH),这意味着一个Windows98的机器是易感染病毒的,但是Windows 95用户是必须要安装WSH的。Irok 蠕虫的传播依靠安装在C:Windows下的操作系统,因此,它不能在缺省安装的Windows 2000 或 Windows NT系统下工作。
如果WSH已安装,Irokrun.vbs 脚本将在系统下一次启动时被执行。该脚本试图发送先前的电子邮件到每一个Outlook地址通讯簿的前60个电子邮箱中,执行后蠕虫删除自身。蠕虫还试图通过Internet在线聊天系统(IRC)发送自身。
