病毒名称:
Worm.Nimda2.ColdWorld
类别: 蠕虫病毒
病毒资料:
①该变种感染异常,会将原文件破坏,替换成一个无效的PE文件。
②与Nimda2相同,只是文件名Httpodbc.dll改为hPHPhp.dll,Sample.exe改为hphphp.exe,向共享文件目录下写入的邮件名称与Nimda2不同。
③Windows 9x:释放Load.exe,生成临时文件并启动,然后对网上共享文件加写入.eml文件、感染exe文件。
④Windows NT/2000:与Windows 9x不同的是,不生成临时文件,而是直接向EXPlorer.exe进程空间内注入线程。
⑤作者通过修改原Nimda2中的字符串并用可执行文件压缩器压缩,这样做确实可以躲避查毒,但使病毒对可执行文件的感染异常。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
蠕虫病毒Worm.Nimda2.ColdWorld,别名冰冷世界,依赖系统Win9x Win2000,感染EXE文件,驻留运行。
发现日期:
2001-12-1