病毒名称:
Worm.Win32.VB.b
类别: 蠕虫病毒
病毒资料:
破坏方法:
蠕虫病毒
病毒采用VB编写,UPX压缩。
病毒运行后有以下行为:
一、弹出对话框,显示以下内容,用于迷惑用户:
标题:"Microsoft Windows ERROR!! "
内容:"File corrupted!!"
二、将自己复制到以下目录:
1.%WINDIR%目录下,文件名为"SP3.EXE"。
2."C:\Program files\symantec\LiveUpdate"目录下,文件名为"LUALL.exe"。
三、修改注册表以下键值:
1.HKEY_CLASSES_ROOT\txtfile\shell\open\command
修改数据项:(默认)
数据值为:"SP3.EXE %1"
2.HKEY_CLASSES_ROOT\Htmlfile\shell\open\command
修改数据项:(默认)
数据值为:"SP3.EXE -NOHOME"
3.HKEY_CURRENT_USER\Software\Microsoft\Internet EXPlorer\Main
修改数据项:"window title"
数据值为:"AGENTT HACKER-W32.DEADMAN@MM"
4.HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\policies
\system 增加数据项:"disabletaskmgr"
数据值为:0X00000001
5.HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion
\policies\system
增加数据项:"disableregistrytools"
数据值为:0X00000001
6.HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion
\Policies\Explorer
增加数据项:"norun"
数据值为:0X00000001
7.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
增加数据项:"Service Pack 3"
数据值为:"SP3.EXE"
四、修改本地计算机的计算名为"Agentt Hacker"。
五、对以下网站进行拒绝服务攻击:
"www.microsoft.com"、
"www.hotmail.com"、
"www.fbi.gov"、
"www.symantec.com"、
"www.rohitab.com"
六、修改HOSTS文件,导致以下网站无法正常访问:
"www.symantec.com"、
"www.microsoft.com"、
"www.McAfee.com"、
"www.rohitab.com"、
"www.worldsex.com"、
"www.ASTALAVista.com"、
"www.Google.com"、
"www.yahoo.com"、
"www.geocities.com"
七、试图将自己复制到A盘根目录下,文件名可能为:
"Service Pack 2.exe"、
"Service Pack 3.exe"、
"PORN.exe"、
"Britney.exe"、
"Windows-Update.exe"、
"XP_UPDATE.exe"、
"FireWall-Update.exe"、
"EMINEM.exe"
八、下载指定网址的文件到本地计算机运行。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-20