当前位置: 王朝网络 >> other >> I-Worm.Skybag.a

I-Worm.Skybag.a

王朝other·作者佚名 2008-05-31

窄屏简体版字體: 小|中|大|超大

病毒名称:

I-Worm.Skybag.a

类别：蠕虫病毒

病毒资料：

破坏方法：

通过邮件传播自己的蠕虫病毒

病毒采用VC编写。

病毒运行后有以下行为：

一、创建名为"~~~Bloodred~~~owns~~~you~~~xoxo~~~2004"的互斥量，以确定只有一个病毒文件在运行。

二、将自己复制分别复制到％WINDIR％、％SYSDIR％目录下，文件名分别为"bloodred.exe"、"WINDOWS_KERNEL32.EXE"。

三、修改注册表以下键值以达到其自启动的目的：

HKEY_LOCAL_MACHINE\Software\Microsoft

\Windows\Currentversion\Run

增加数据项："Microsoft Kernel"

数据值为："％SYSDIR％\WINDOWS_KERNEL32.EXE"

四、创建一个线程用于查看当前系统是否有以下进程在运行，如果有则将它们结束：

CCAPP.exe

ZONEALARM.EXE

ZONALM2601.EXE

ZAUINST.EXE

ZATUTOR.EXE

WRCTRL.EXE

WRADMIN.EXE

WNT.EXE

WINRECON.EXE

W9X.EXE

W32DSM89.EXE

TCA.EXE

TC.EXE

TAUSCAN.EXE

TAUMON.EXE

TASKMON.EXE

FSAV95.EXE

FSAV530WTBYB.EXE

FSAV530STBYB.EXE

ATGUARD.EXE

ATCON.EXE

APVXDWIN.EXE

APLICA32.EXE

APIMONITOR.EXE

ANTS.EXE

ANTIVIRUS.EXE

ANTI-TROJAN.EXE

AGENTSVR.EXE

……

五、创建一个线程用于关闭"Windows Task Manager"窗体。

六、创建以下互斥量，导致使用以下互斥量的进程无法运行：

SkyNet-Sasser

AdmSkynetJKIS003

[SkyNet.cz]SystemsMutex

LK[SkyNet.cz]SystemsMutex

Netsky AV Guard

MI[SkyNet.cz]SystemsMutex

KO[SkyNet.cz]SystemsMutex

……

七、感染C盘下所有扩展名为"EXE"的文件，感染的方式是将病毒数据插入到被感染的文件起始位置。

八、将自己复制到P2P软件的共享目录下，文件名有以下可能：

"Visual Studio.NET.zip.exe"

"DVD Xcopy XPress.exe"

"Britney spears naked.jpeg.exe"

"Teen Porn.mpeg.exe"

"Windows crack.zip.exe"

"Kazaa Lite.zip.exe"

"NETSKY SOURCE CODE.zip.exe"

"Battlefield 1942.exe"

"Norton AntiVirus 2004.exe"

"Brianna banks and jenna jameson.mpeg.exe"

"Snood new version.exe"

"Opera Registered version.exe"

"jenna jameson screensaver.scr"

"WINDOWS SOURCE CODE.zip.exe"

"Windows Longhorn Beta.exe"

"WinRAR.exe"

"WinAMP 6.exe"

"Cisco source code.zip .exe"

"Adobe Photoshop Full Version.exe"

"ACDSEE10.exe"

九、搜索C盘以下扩展名的文件：

"dbx"、

"adb"、

"ASP"、

"jsp"、

"rtf"、

"doc"、

"XML"、

"txt"、

"htm"、

"Html"

并从中提取包含以下字符串的邮件地址：

"@hotmail"、

"@fsecure"、

"@virusli"、

"@noreply"、

"@norton"、

"@norman"、

"@sopho"、

"@MSN"、

"@microsoft"、

"@avp"、

"@panda"、

"@symantec"

对所提取的邮件地址发送携带病毒的邮件：

邮件标题有以下可能：

"Email Account Information"

"User Information"

"Detailed Information"

"URGENT PLEASE READ!"

"User Info"

"Server Error"

"Urgent Update!"

邮件正文有以下可能：

"Our server is experiencing some latency in our email service. The attachment

contains details on how your account will be affected."

"Due to recent internet attacks, your Email account security is being upgraded.

The attachment contains more details"

"Our Email system has received reports of your account flooding email servers.

There is more information on this matter in the attachment"

"We regret to inform you that your account has been hijacked and used for

illegal purposes. The attachment has more information about what has happened."

"Your Email account information has been removed from the sys

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2005-1-10

点击展开全文

上一篇：Worm.Redesi.d

下一篇：I-Worm.Petik.n

免责声明：本文为网络用户发布，其观点仅代表作者个人观点，与本站无关，本站仅提供信息存储服务。文中陈述内容未经本站证实，其真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。

没有找到您想要的？点此查看更多相关文章
相关文章▶

2023年上半年GDP全球前十五强
百态 2023-10-24

美众议院议长启动对拜登的弹劾调查
百态 2023-09-13

上海、济南、武汉等多地出现不明坠落物
探索 2023-09-06

印度或要将国名改为“巴拉特”
百态 2023-09-06

男子为女友送行，买票不登机被捕
百态 2023-08-20

手机地震预警功能怎么开？
干货 2023-08-06

女子4年卖2套房花700多万做美容：不但没变美脸，面部还出现变形
百态 2023-08-04

住户一楼被水淹还冲来8头猪
百态 2023-07-31

女子体内爬出大量瓜子状活虫
百态 2023-07-25

地球连续35年收到神秘规律性信号，网友：不要回答！
探索 2023-07-21

全球镓价格本周大涨27%
探索 2023-07-09

钱都流向了那些不缺钱的人，苦都留给了能吃苦的人
探索 2023-07-02

倩女手游刀客魅者强控制（强混乱强眩晕强睡眠）和对应控制抗性的关系
百态 2020-08-20

美国5月9日最新疫情：美国确诊人数突破131万
百态 2020-05-09

荷兰政府宣布将集体辞职
干货 2020-04-30

倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观：鹏程万里
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案神机营：射石饮羽
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山：拔刀相助
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案天工阁：鬼斧神工
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道：单枪匹马
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：与虎谋皮
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：李代桃僵
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：指鹿为马
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案金陵：小鸟依人
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案金陵：千金买邻
干货 2019-11-12