病毒名称:
Worm.Banwor.a
类别: 蠕虫病毒
病毒资料:
破坏方法:
Delphi写的蠕虫蠕虫。由4个文件组成:
syhost.exe,
scan.exe,
hwin32.dll,
win32.dll。
syhost.exe是病毒主程序。
scan.exe负责扫描局域网内机器的RPC漏洞,扫描成功后利用漏洞传播病毒。
hwin32.exe负责隐藏病毒进程。
win32.exe负责监视系统操作,相当于间谍。
病毒首次运行将4个文件都拷贝到windows目录下。修改注册表:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
syhost : %WINDIR%\syhost.exe
这样,每次开机病毒都能启动。
syhost.exe运行后建立FTP服务,等待连接,然后启动scan.exe来传播自身。
查找IE窗体并试图从中搜索信息,其中包括很多家银行的网上银行信息。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-12-6
