病毒名称:
Worm.Relphot
类别: 蠕虫病毒
病毒资料:
破坏方法:
一个蠕虫病毒,采用FSG压缩
病毒行为:
病毒将自己复制两份复本到%windows%目录下,文件名为:regedit.com及netstat.com因为在MS-DOS框下运行程序,操作系统将先启动后缀名为.com的程序.当用户运行regedit和netstat时病毒将被执行同时病毒还将自己复制一份到%windows%\web目录下,文件名为:svchost.exe并在system.ini的
boot节shell项中加入%windows%\web\svchost.exe以达到随系统启动目的。
病毒遍历系统目录,当病毒发现目录名中带有以下字串时"grokste","downloa","incomin"
"shar"病毒将向其目录中复制自己的复本.
文件名为:"Virtual Girls.scr","Blade-XP (Theme).scr"
"WinXP SP3 crack.com","MS Office XP-crack.com"
病毒释放一个名为:jpdrop.jpg的文件到%system%目录(是一张色情图片.),并从注册表中获取系统当前wab文件路径。打开wab文件,尝试从中提取email地址向其发送病毒邮件.
黑名单:
病毒遍历系统进程列表,当病毒发现有进程名中带有体内"黑名单"字串时将结束该进程.病毒体内的黑名单.
escanhnt.
ewall.
guard.
ccapp.
blackd.
sphinx.
maniac.
protect
synmgr.
blackice
fiaudit.
systra.
upgrade
update
alarm
winit.
symantec
gate
McAfee
luall.
dec25.
svchosl.
...
病毒在每次文件操作前结束名为:regmon.,filemon的进程.
后门:
病毒监听8297端口以实现一个上传后门,病毒作者可以利用这个端口向中毒系统上传文件并执行.
病毒将收到的文件存在%system%目录下,文件名为:winlogins.exe
邮件传播:
病毒遍历系统中以下扩展名的文件,并尝式从中提取email地址,向其发送病毒邮件传播.
'shtm'
'dhtm'
'mmf'
'eml'
'xls'
'XML'
'uin'
'tbb'
'dbx'
'doc'
'htm'
'adb'
'txt'
'rec'
....
病毒将跳过email地址中带有以下字串的email地址(不向其发送病毒邮件)
mydomai
foo.
iruslis
.hlp
nodomai
hotmail
software.
icrosoft
kASPersky
anyone
mozilla
sendmail
sopho
syman
bitdef
Linux
neohapsis
guninski
podpiska
Delphiworld
accoun
listserv
antivir
admin
site
webmaney
where
...
邮件标题:
How are you?!
Hello :)
...
邮件正文:
Sorry, has forgotten your e-mail,only today has found,
as promised I send the new photos.
Up to a meeting, kiss you.
Hello, as have agreed I send the my new photos.
This are my new photos... Bye.
附件名:
my_1.scr,
Girl_01.scr,
my_2.jpeg,
Girl_02.jpeg....
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-11