病毒名称:
I-Worm.Dumaru.c.enc
类别: 蠕虫病毒
病毒资料:
破坏方法:
一个用vc编写的蠕虫病毒
病毒形为:
该病毒运行后将自己复制到%system32%目录下,文件名为:
load32.exe
并在注册表
Software\Microsoft\Windows\CurrentVersion\Run
中加入自己的键值:load32
病毒通过注册表
Software\Microsoft\Windows\CurrentVersion
\EXPlorer\Shell Folders\Startup
查到当前系统的启动项目录,并将自己复制到该目录。
病毒还将修改win.ini及system.ini文件。以便自己随系统启动而启动。
病毒结束以下进程:
ZAUINST.EXE.ZAPRO.EXE.ZONEALARM.EXE.
ZATUTOR.EXE.MINILOG.EXE.VSMON.EXE
LOCKDOWN.EXE.ANTS.EXE.FAST.EXE.
GUARD.EXE.TC.EXE.
SPYXX.EXE.PVIEW95.EXE
REGEDIT.EXE.DRWATSON.EXE.
SYSEDIT.EXE.NSCHED32.EXE.
MOOLIVE.EXE.TCA.EXE
TCM.EXE.TDS-.EXE.SS3EDIT.EXE.UPDATE.EXE.
ATCON.EXE.ATUPDATER.EXE.ATWATCH.EXE
WGFE95.EXE.POPROXY.EXE.NPROTECT.EXE.
VSSTAT.EXE.VSHWIN32.EXE.NDD32.EXE
MCAGENT.EXE.MCUPDATE.EXE.
WATCHDOG.EXE.TAUMON.EXE.
IAMAPP.EXE.IAMSERV.EXE
LOCKDOWN2000.EXE.SPHINX.EXE.
WEBSCANX.EXE.VSECOMR.EXE.PCCIOMON.EXE.
ICLOAD95.EXE ICMON.EXE.ICSUPP95.EXE.
ICLOADNT.EXE.ICSUPPNT.EXE.
FRW.EXE.BLACKICE.EXE.BLACKD.EXE
WRCTRL.EXE.WRADMIN.EXE.WRCTRL.EXE.
PCFWALLICON.EXE.APLICA32.EXE.
CFIADMIN.EXE CFIAUDIT.EXE.CFINET32.EXE.
CFINET.EXE.TDS2-98.EXE.TDS2-NT.EXE.
SAFEWEB.EXE.NVARCH16.EXE
MSSMMC32.EXE.PERSFW.EXE.VSMAIN.EXE.
LUALL.EXE.LUCOMSERVER.EXE.AVSYNMGR.EXE
DEFWATCH.EXE.RTVSCN95.EXE......
木马后门:
病毒启动两个后门线程。它们分别监听10000及10001端口可以执行一些客户端传来的控制命令。
病毒还将放出一些dll文件,这些文件负责进行键盘击键监听,病毒将收集用户密码信息及粘贴板数据。
病毒把webmemory 的密码文件,及一些用户系统信息(密码,粘贴板)发送到一个指定的信箱。
邮件传播:
病毒搜索.htm,.wab,.Html,.dbx,.tbb,.abd文件从中获取Email地址。并利用这些地址进行邮件传播。
邮件标题:
Use this patch immediately !
邮件标题:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
附件名为:
patch.exe
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-12-15
