病毒名称:
Win32.BinLaden
类别: 蠕虫病毒
病毒资料:
病毒Win32.BinLaden,通过电子邮件传播,用户会收到一份附件为BINLADEN_BRASIL.EXE的病毒邮件。该病毒会感染Windows 95/98,但windows 2000将认为该附件为非法应用程序。
病毒传播:
1)在系统默认临时文件夹内释放sfc????.exe。
2)在系统目录释放Invictus.DLL(该动态库用于感染,并且使用UPX压缩)。
3)修改system.ini,将Shell=xxxxxx.exe 修改为 Shell=xxxxxx.exe ???.exe,以便每次启动时将病毒启动。
4)修改注册表,共享整个C:。
5)感染可执行文件,尤其是Windows目录下的HH.exe。
病毒特点:
1)感染后的文件入口RVA变为0,因为EXE文件头“MZ”是合法指令,病毒就得以运行。
2)病毒破坏了部分文件头以及Stub程序,因此杀毒后的文件很可能不能再在DOS下运行。
3)该病毒通过搜索ICQ网站来取得邮件地址,使用SMTP协议将带毒邮件发给各个用户(采用匿名方法)。
4)病毒发作时会弹出一个对话框,并用随即字符填充背景。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2001-11-1