病毒名称:
Worm.Win32.Francette.na
类别: 蠕虫病毒
病毒资料:
破坏方法:
一个用Delphi编写的蠕虫病毒.采用UPX压缩
病毒行为:
病毒运行后将在注册表
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
中加入自己的键值:
"Microsoft IIS"=%CURRENT_DirectorY%\%VIRUSNAME%
随后病毒驻留内存完成以下功能.
1.监听随机端口.
用于把当前系统做为一个代理服务器.使病毒作者可以利用该系统做为跳板。当前系统的ip地址和代理端口被病毒通过Mirc传给病毒作者.
2.监听随机端口:
病毒实现一个tFTP服务器.病毒随机计算ip地址,并尝试对其利用MS-04011漏洞发动攻击.当成功后被攻入系统,将利用tftp从发送攻击的系统中下载病毒文件.并启动.从而达到传播目的.病毒实现的tftp服务器,就是负责传送病毒文件使用的.
3.病毒监视IE
当发现用户在流览的窗口标题带以"E-Gold",及"e-Bullion"等字串时,将记录用户的一些操作信息并将其发送到一个特定的Email信箱.
4.病毒以特定的昵称登录到mirc的特定频道以便病毒作者方便进行控制.
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-12-29