病毒名称:
Worm.Adurk.a.enc
类别: 蠕虫病毒
病毒资料:
破坏方法:
蠕虫,一旦执行,病毒将自我复制系统文件夹.
它将创建下列注册表键值来使自己随Windows系统自启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\WindowsCurrentVersion\Run
Namesd = "%SYSDIR%\adurk-a.exe"
(注: %SYSDIR% 是 Windows 的系统文件夹
在Windows 95, 98和ME下通常为:C:\Windows\System,
在Windows NT and 2000下通常为:C:\WINNT\System32,
在Windows XP下通常为:C:\Windows\System32)
同时,它将注册自己为OLE对象,创建下列键值:
HKEY_CLASSES_ROOT\CLSID\{????????-????-????-????-????????????}\LocalServer32
(default) = "%SYSDIR%\ADURK-A.EXE"
(注: ?? 病毒是随机生成的16进制数值.)
它显示一个虚假的错误信息::
Error System Seting
The object can't accept the call because its initialize function or equivalent has
not been called.
网络传播:
病毒枚举局域网并将自己复制到共享的文件夹下,文件名为:I_LOVE_YOU.EXE.
邮件传播:
病毒使用Simple Mail Transfer Protocol (SMTP)传播. 它从注册表的如下键值检索email地址:
HKEY_LOCAL_MACHINE \Software\MicrosoftInternet
Account Manager\Accounts
同时向收集到的Email地址发送邮件,邮件带有如下信息:
From:
标题: CARTOON
正文: (Html)
CARTOON %d
The #1 Site for: Cartoons, Hentai & Anime HORNY LITTLE TOONS
EXCLUSIVE HENTAI CONTENT
EROTIC ANIME MOVIES
NEVER SEEN BEFORE CARTOON SLUTS
JAPANESE MANGA TOONS
ENTER CARTOON
HERE!!
附件: CARTOON_.exe
本地传播:
病毒遍历文件,搜索扩展名为.htm的文件,在所有HTM文件的头部添加如下信息:
其中??为病毒随机生成的16进制数,同时同名将病毒复制为此HTM文件的可执行文件,而此注册表键值即指向此病毒文件,这将注册为OLE内嵌对象,在某些系统上当鼠标单击时就能自动运行。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-11-28
