病毒名称:
Worm.MSN.Elon.a
类别: 蠕虫
病毒资料:
破坏方法:
一个利用msn进行传播的蠕虫病毒
病毒行为:
病毒运行后,将自己复制到%system%目录下,名为:moniker.exe
同时也释放一个名为:hktt.dll的动态库(为病毒的主要功能模块)
病毒在注册表:
HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows
\CurrentVersion\Run
中加入自己的键值:
“RealONE_nt2003”=%system%\moniker.exe以达到自启动的目的。
病毒启动一个以1秒为周期的“监视器”,当病毒发现MSN窗口时,并加载dll利用Hook函数将dll注入msn进程。
dll模块功能:
dll直接拦截了msn的消息发送流程,在用户发送消息时自动加上。
“我爱 http://www.Google.com”及“www.xxxxxxx.com”该网页包含有利用MS04-013漏洞的木马。当用户存在该漏洞,访问该网站时,将自动下载一个木马并执行。木马将到特定网站下载病毒到本地系统执行。(文件名为:C:\\SYShttp2.sys,C:\\SYShttp1.sys)以达到传播目的。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-9-24
