Worm.Relphot

王朝other·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

病毒名称:

Worm.Relphot

类别: 蠕虫病毒

病毒资料:

破坏方法:

一个蠕虫病毒,采用FSG压缩

病毒行为:

病毒将自己复制两份复本到%windows%目录下,文件名为:regedit.com及netstat.com因为在MS-DOS框下运行程序,操作系统将先启动后缀名为.com的程序.当用户运行regedit和netstat时病毒将被执行同时病毒还将自己复制一份到%windows%\web目录下,文件名为:svchost.exe并在system.ini的

boot节shell项中加入%windows%\web\svchost.exe以达到随系统启动目的。

病毒遍历系统目录,当病毒发现目录名中带有以下字串时"grokste","downloa","incomin"

"shar"病毒将向其目录中复制自己的复本.

文件名为:"Virtual Girls.scr","Blade-XP (Theme).scr"

"WinXP SP3 crack.com","MS Office XP-crack.com"

病毒释放一个名为:jpdrop.jpg的文件到%system%目录(是一张色情图片.),并从注册表中获取系统当前wab文件路径。打开wab文件,尝试从中提取email地址向其发送病毒邮件.

黑名单:

病毒遍历系统进程列表,当病毒发现有进程名中带有体内"黑名单"字串时将结束该进程.病毒体内的黑名单.

escanhnt.

ewall.

guard.

ccapp.

blackd.

sphinx.

maniac.

protect

synmgr.

blackice

fiaudit.

systra.

upgrade

update

alarm

winit.

symantec

gate

McAfee

luall.

dec25.

svchosl.

...

病毒在每次文件操作前结束名为:regmon.,filemon的进程.

后门:

病毒监听8297端口以实现一个上传后门,病毒作者可以利用这个端口向中毒系统上传文件并执行.

病毒将收到的文件存在%system%目录下,文件名为:winlogins.exe

邮件传播:

病毒遍历系统中以下扩展名的文件,并尝式从中提取email地址,向其发送病毒邮件传播.

'shtm'

'dhtm'

'mmf'

'eml'

'xls'

'XML'

'uin'

'tbb'

'dbx'

'doc'

'htm'

'adb'

'txt'

'rec'

....

病毒将跳过email地址中带有以下字串的email地址(不向其发送病毒邮件)

mydomai

foo.

iruslis

.hlp

nodomai

hotmail

software.

icrosoft

kASPersky

anyone

mozilla

sendmail

sopho

syman

bitdef

Linux

neohapsis

guninski

podpiska

Delphiworld

accoun

listserv

antivir

admin

site

webmaney

where

...

邮件标题:

How are you?!

Hello :)

...

邮件正文:

Sorry, has forgotten your e-mail,only today has found,

as promised I send the new photos.

Up to a meeting, kiss you.

Hello, as have agreed I send the my new photos.

This are my new photos... Bye.

附件名:

my_1.scr,

Girl_01.scr,

my_2.jpeg,

Girl_02.jpeg....

病毒的清除法:

使用光华反病毒软件,彻底删除。

病毒演示:

病毒FAQ:

Windows下的PE病毒。

发现日期:

2005-1-11

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航