病毒名称:
Worm.Wukill.e
类别: 蠕虫病毒
病毒资料:
破坏方法:
这是vb写的蠕虫病毒。病毒采用文件夹图标,让用户误以为是打开了一个新的文件夹,具有很大迷惑性。
一、 病毒首次运行时,什末反应也没有,悄悄将自己复制到系统的字体路径(比如C:\WINNT\FONTS\)。名称是四位随机数字和字母,扩展名为"com"。 病毒之所以采用这个路经,是因为在文件管理器中,只会显示这个路径里的字体文件,其他类型的文件不会被显示。
病毒在注册表的启动项添加“TempCom”。系统下次启动,会运行病毒程序 。
二、 病毒修改注册表的系统设置,隐藏已知的类型的文件后缀名称、不显示具有隐藏属性的文件,把自己伪装成一个文件夹。
HKCU\Software\Microsoft\Windows\CurrentVersion
\EXPlorer\Advanced\HideFileExt = 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Hidden = 0x0
三、 病毒会把自身复制到多个文件夹下面
1.%WINDOWS%\All Users\Start Menu\Programs\启动\启动.scr (Win98系统)
C:\Documents and Settings\All Users\[开始]菜单\程序\启动\启动.scr (win2000和winxp系统)
2. A:\Explorer.EXE
A:\WINDOWS.EXE
3. 枚举磁盘目录,在每个根目录下释放下列文件:
WINDOWS.EXE 病毒主体程序
coment.htt 利用IE漏洞调用同一个目录下的"WINDOWS.EXE",属性为隐藏。
desktop.ini 系统为隐藏。采用web方式浏览文件夹时,系统会调用该文件,该文件调用coment.htt ,从而激活病毒。
4.在根目录下释放NetHood.htm。
用户看不到coment.htt和desktop.ini,WINDOWS.EXE被隐藏后缀名,又是文件夹图标,用户极容易认为是文件夹而点击。
四、病毒使用“cmd /c net view D:\net.txt ”命令查找网络上的计算机,试图感染更多用户电脑。病毒名称采用上级目录,或者是当前窗口的标题,增加欺骗性。
五、病毒调用Outlook发送携带病毒的信件。 发信人邮箱为“Mywoman@163.com”搜索Microsoft Outlook地址薄里的所有邮件地址,将自己以邮件附件的形式发出去,试图感染更多用户电脑。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-12-27
