Worm/DoomHunter
病毒长度:5,120
病毒类型:网络蠕虫
危害等级:*
影响平台:Win2000/XP
Worm/DoomHunter传播到所有感染了"挪威客"及其变种病毒的机器上。
传播过程及特征:
1.复制自身为:
%System%worm.exe
2.修改注册表:
/在注册表启动项下添加键值,以便随系统启动而运行。
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
"Delete Me"="worm.exe"
/删除下列子键:
HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32
3.运行后出现内容不确定的信息提示框,但标题都为Mydoom removal worm(DDos the RIAA!!)
4.结束下列进程,并删除其在系统目录下的源文件:
SHIMGAPI.DLL
CTFMON.DLL
REGEDIT.EXE
TEEKIDS.EXE
MSBLAST.EXE
EXPLORER.EXE
TASKMON.EXE
INTRENAT.EXE
5.连接并监听TCP端口3127,连接成功后,蠕虫首先发送5个字节字符到远程机器,然后再发送蠕虫复本文件,并利用挪威客的后门组件执行。