病毒名称:
Worm.Lade
类别: 蠕虫病毒
病毒资料:
破坏方法:
IRC蠕虫该病毒用Microsoft VB编写,FSG压缩,是一个通过IRC软件传播的蠕虫
病毒有可能在系统启动时格式化硬盘,试图删除一些反病毒软件。
病毒运行后将复制到下列目录:%SYSDIR%\rundli32.exe.
检查是否安装了mIRC软件,如果已安装则释放一个文件:Script.ini到下列可能的目录:
c:\mirc\system\script.ini
c:\mirc32\system\script.ini
c:\mirc\script.ini
c:\mirc32\script.ini
c:\progra~1\mirc32\system\script.ini
c:\progra~1\mirc\system\script.ini
c:\progra~1\mirc\script.ini
c:\progra~1\mirc32\script.ini,病毒用此文件来传播自身;
生成一个BAT文件%WINDIR%\Winstart.bat,用来删除反病毒软件;
病毒也可能修改文件:C:\Autoexec.bat来格式化下列硬盘分区:
C, D, E, F,G
HKEY_LOCAL_MACHINE"w32.BeanLadean.B.worm"
HKEY_LOCAL_MACHINE\Software
"w32.BeanLadean.B.worm"
HKEY_LOCAL_MACHINE\Software\Microsoft
"w32.BeanLadean.B.worm"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
"w32.BeanLadean.B.worm"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion
"w32.BeanLadean.B.worm"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run
"rundli32"="%Windir%\System\rundli32.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion RunOnce
"rundli32"="%Windir%\System\rundli32.exe"
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-8-29