病毒名称:
I-Worm.Kirbster
类别: 蠕虫
病毒资料:
破坏方法:
蠕虫病毒
病毒运行后将自己复制两份到%SYSDIR%目录下,文件名
为"TaskSystemDll.Exe"、"CuteKirby.Scr"。
并尝试向D、E、F、G、H、I、J、K、L、M、N、O、P、Q、R、S、T、U、V、
W、X、Y、Z盘的根目录放置自已的复本,
文件名"Kirbster.Exe"。
修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
增加数据项"WinSysStartUpWKbLw",以达到其自启动的目的。
查找P2P软件的共享目录,并将自己复制到P2P软件的共享目录下,文件名为"Rage Against The Machine - Sleep Now In This Fire.mp3.Exe"。
将自己复制下列目录,这些目录与P2P软件的共享目录在同一个盘符下。
\Program Files\Grokster\My Grokster
文件名为:AFI - 6 To 8.Mp3.Exe
\Program Files\ICQ\Shared Files\
文件名为:WinIso - Iso Ripper.Exe
\My Downloads\
文件名为:ePs2e - PS2 Emulator.Exe
\Program Files\EDonkey2000\Incoming\
文件名为:Feeder - Under The Weather.Mp3.Exe
\Program Files\BearShare\Shared\
文件名为:Therion - Nifelheim.Mp3.Exe
\Program Files\Morpheus\My Shared Folder\
文件名为:PennyWise - Land Of The Free.Mp3.Exe
\Program Files\AIM95\
文件名为:CutiePinkKirby.Scr
并将"\Program Files\AIM95\"目录下"CutiePinkKirby.Scr"文件共享。
查找Mirc软件的目录,并修改Mirc的Scirpt.ini文件以传播自己。
释放文件"KirbyWins.mp3"、"KirbyBmp.Bmp",
并将释放的"KirbyBmp.Bmp"文件作为Windows的桌面。
修改屏幕保护使其指向%SYSDIR%目录下的"CuteKirby.Scr"
弹出对话框,显示以下信息:
"There was a critical error in the application the video drivers could not load,
if you continue to eXPerience problems try restarting your computer."
并播放"KirbyWins.mp3"文件以迷惑用户。
判断当前系统时间是否是星期天,如果是则进行以下破坏:
1.删除当前路径下的下列目录的所有文件:
\PC-Cil~1\ToolKit\FindVirus\AntiVi~1\VS95\TBAVW95
\f-macro\eSafen\Progra~1\FindVirus\Progra~1\FWIN32\Progra~1
\QuickH~1\Progra~1\AntiVi~1\Progra~1\Grisoft\AVG6\Progra~1
\AvPersonal\Progra~1\Trojan~1\Progra~1\KASPer~1
\Progra~1\TinyPe~1\Progra~1\ZoneLa~1
\ZoneAlarm\Progra~1\Comman~1\F-PROT95
\Progra~1\TrendM~1\Pc-cil~1\Progra~1\PandaS~1
\PandaA~1\Progra~1\eSafe\Protect\Progra~1\McAfee\McAfee FireWall\Progra~1
\McAfee\VirusScan\Progra~1\Common~1\Symant~1
\Script~1\Progra~1\Common~1\Symant~1\Progra~1
\Symantec\Progra~1\Norton~2\Progra~1\Norton~1
2.反复弹出下列对话框,显示以下内容:
" Are you ready? W32.Kirby.Fl00der By L0NEw0lf.
Enter The w0lf..."
3.将当前目录、以及%WINDIR%目录、%SYSDIR%目录下的*.txt、*.doc用以下内容覆盖。
"L0NEw0lf was here..."
4.创建"KirbyMail.Vbs"文件,从Outlook的地址簿中取出E_Mail地址用于发送带毒邮件。
邮件标题为:"Fw: Hello there"
邮件正文为:"Hey, I just recieved a screen saver in the mail and it is really cute. Take a loot."
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-3-16
