病毒名称:
I-Worm.Pilif
类别: 蠕虫
病毒资料:
破坏方法:
病毒采用 Visual Basic 6 编写,是一个蠕虫病毒。
病毒特征如下:
1.修改注册表自启动,相关键值如下:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS
\CURRENTVERSION\RUN "Pilif" = "%SYSDIR%\PILIF.EXE"
2.禁止使用任务管理器,相关键值如下:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\Currentversion\policies\system
"disabletaskmgr" = 0X00000001
3.该病毒在注册表中保存一个计数器,来计算被运行的次数,当大于10次后将显示一个消息框,内容如下:
"Only two things are infinite :
The Universe and Human Stupidity.
And I am not sure about the Universe - A.Einstein"
然后计数器重新计数
4.病毒也将复制到系统目录下:
%SYSDIR%\pilif.exe
5.同时,病毒会试图终止下列反病毒软件的运行:
"KASPersky Anti-Virus"
Kaspersky AV Control Centre"
"Agnitium Firewall"
"Kaspersky AV Monitor"
"Kaspersky Anti-Virus Scanner"
"McAfee"
"Norton Anti-Virus"
"Norton Firewall"
"Sygate Personal Firewall"
"Windows Updater"
"Zone Alarm"
6.病毒每隔十秒将提示关闭机器
7.它通过局域网、邮件、P2P、IRC传播
a.局域网传播时病毒试图复制自己到映射的网络驱动器上
b.邮件传播时病毒从本地文件中搜索邮件地址
c.P2P传播时复制到P2P共享目录的文件名为诸如:
Kasperky AV Universal Key.exe,
Dark Coderz Alliance.exe
类的具有欺骗性的名称
d.IRC传播时是向IRC公用频道发送欺骗消息并使用DCC发送病毒体
8.病毒将在每年的6月4日显示一个消息:
"Happy birthday Ombladon! FUCk you Pilif..."
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-10-9