病毒名称:
I-Worm.Kitro.l.enc
类别: 蠕虫病毒
病毒资料:
破坏方法:
Borland Dephi写的控制面板文件,采用UPX压缩,是一个通过邮件和Kazaa P2P网络传播的蠕虫。
病毒感染时的Email地址是搜索 .NET Messenger的联系人获得。
1.本地感染:
一旦运行,病毒将复制多份到本地机器中,文件名随机,扩展名为 .CPL,例如:1234.CPL
2.自启动:
它将创建下列注册表键值来使自己随Windows系统自启动:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
(蠕虫文件名) = rundll32.exe shell32.dll,Control_RunDLL (蠕虫文件名)
例如:
1344.cpl = rundll32.exe shell32.dll,Control_RunDLL 1344.cpl
3.网络传播:
(1)病毒搜索.NET Messenger联系人Email地址并向这些地址发送带毒邮件,
可能的消息为:
Esta si que es zorra!!!
Fotos de asesinatos, Jack
el Destripador, Charles Manson,
y mUChos mas para decorar tu escritorio.
Yeahhh Mutha Facka... NY
Brookling in your NET.
Genera passWords para poder
entrar a las webs mas putonas de la red, y gratis, incluso podras bajar peliculas porno.
Para los verdaderos amigos...
Test de amor.
30 pregutas para saber
si tu pareja te enga
La imagen de cristo
en un bosque.
...
(2)病毒复制多份到 Kazaa 共享目录下,文件名可能为:
DivResidentEvil.ZIP.cpl
SpidermanDesktop.cpl
:AVP_KeyActualization2002.ZIP
.cpl
6Messenger_SKINs.ZIP
.cpl
Porno_sTar.cpl
:CannibalCorpse.mp3
.cpl
ASicKOFitall.Zip
.cpl
AXEbahia.cpl
NuevosVideosProfesorRossa.cpl
NewVideo_Blink182.cpl
LagWagon&Blink182.cpl
Hacking.cpl
AllMcAfeeCrack.Cpl
Britney_spearsVSDavidBeckham_AnalPasions.cpl
6Crack.PerAntivirus.Zip
.cpl
JamieThomasVSrodneyMullen.cpl
MariguanaDesktop.cpl
AgeOfEmpires2_Crack.cpl
7PSX2_Emulation.Zip
.cpl
?GameCube.Zip
.cpl
...
4.破坏行为:
病毒将试图删除如下软件:
C:\archiv~1\perav\pav.dll
C:\archiv~1\perav\per.dll
C:\program files\perav\pav.dll
C:\program files\perav\per.dll
%AVP安装目录%\bases\avp.set
%SYSDIR%\vshield.vxd
注: %SYSDIR% 是可变的WINDOWS系统文件夹,默认为:
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP).
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-12-5
