病毒名称:
Worm.Win32.Busan.c
类别: 蠕虫
病毒资料:
破坏方法:
破坏exe文件关联的蠕虫病毒。
一、采用exel文档图标,拷贝自身为系统目录的 “ FILES32.SYS”,破坏注册表,取得运行机会
HKEY_CLASSES_ROOT\exefile\shell\open\command
(默认) : FILES32.SYS "%1" %*
二、释放“mh32.dll”,挂结系统键盘钩子,取得用户输入信息和当前窗口的标题,保存到系统目录的“lmhost.log”。
三、试图下载病毒最新版本
http://***upw.narod.ru/worm31.bmp 保存为本地的“dile.exe”,并运行起来进行破坏。
四、每隔一小时,通过邮件服务器“pop3.rambler.ru”,把本地cpu类型、系统类型、用户、公司、ip地址序列等等计算机详细信息发送出去。
把前面记录的log文件也发送出去,发送到“wot_me@rambler.ru”。
五、发送携带病毒的邮件,附件是“matrix2.scr”
六、运行IE,执行下列命令。
ieXPlore.exe -new http://***web.icq.com/whitepages/page_me/1,,,00.Html?to=353000&nickname=Ldteam&from=Bush
&fromemail=Bush@usa.net&body=Bush_Gandon&x=19&y=8
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-1-12
