Worm.Relphot

病毒名称:

Worm.Relphot

类别： 蠕虫病毒

病毒资料：

破坏方法：

一个蠕虫病毒,采用FSG压缩

病毒行为:

病毒将自己复制两份复本到％windows％目录下,文件名为:regedit.com及netstat.com因为在MS-DOS框下运行程序,操作系统将先启动后缀名为.com的程序.当用户运行regedit和netstat时病毒将被执行同时病毒还将自己复制一份到％windows％\web目录下,文件名为:svchost.exe并在system.ini的

boot节shell项中加入％windows％\web\svchost.exe以达到随系统启动目的。

病毒遍历系统目录,当病毒发现目录名中带有以下字串时"grokste","downloa","incomin"

"shar"病毒将向其目录中复制自己的复本.

文件名为:"Virtual Girls.scr","Blade-XP (Theme).scr"

"WinXP SP3 crack.com","MS Office XP-crack.com"

病毒释放一个名为:jpdrop.jpg的文件到％system％目录(是一张色情图片.),并从注册表中获取系统当前wab文件路径。打开wab文件,尝试从中提取email地址向其发送病毒邮件.

黑名单:

病毒遍历系统进程列表,当病毒发现有进程名中带有体内"黑名单"字串时将结束该进程.病毒体内的黑名单.

escanhnt.

ewall.

guard.

ccapp.

blackd.

sphinx.

maniac.

protect

synmgr.

blackice

fiaudit.

systra.

upgrade

update

alarm

winit.

symantec

gate

McAfee

luall.

dec25.

svchosl.

...

病毒在每次文件操作前结束名为:regmon.,filemon的进程.

后门:

病毒监听8297端口以实现一个上传后门,病毒作者可以利用这个端口向中毒系统上传文件并执行.

病毒将收到的文件存在％system％目录下,文件名为:winlogins.exe

邮件传播:

病毒遍历系统中以下扩展名的文件,并尝式从中提取email地址,向其发送病毒邮件传播.

'shtm'

'dhtm'

'mmf'

'eml'

'xls'

'XML'

'uin'

'tbb'

'dbx'

'doc'

'htm'

'adb'

'txt'

'rec'

....

病毒将跳过email地址中带有以下字串的email地址(不向其发送病毒邮件)

mydomai

foo.

iruslis

.hlp

nodomai

hotmail

software.

icrosoft

kASPersky

anyone

mozilla

sendmail

sopho

syman

bitdef

Linux

neohapsis

guninski

podpiska

Delphiworld

accoun

listserv

antivir

admin

site

webmaney

where

...

邮件标题:

How are you?!

Hello :)

...

邮件正文:

Sorry, has forgotten your e-mail,only today has found,

as promised I send the new photos.

Up to a meeting, kiss you.

Hello, as have agreed I send the my new photos.

This are my new photos... Bye.

附件名:

my_1.scr,

Girl_01.scr,

my_2.jpeg,

Girl_02.jpeg....

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2005-1-11

• ·Worm.Win32.Padobot.m
• ·Worm.P2P.Himera
• ·WORM_OPOSSUM.A
• ·Worm.Win32.Dedler.d
• ·Worm.P2P.VB.bc
• ·Worm.Win32.Anker.a
• ·Worm.Win32.Buchon.e
• ·P2P-Worm.Win32.Darby.q
• ·Complainant
• ·Win32.RedAlert