病毒名称:
Worm.Wukill.b
类别: 蠕虫
病毒资料:
破坏方法:
该病毒具有欺骗性,运行后往往提示
"This File Has Been Damage!"
其实进行下列破坏行为:
一、拷贝自身为Windows目录的“MSTRAY.EXE”,修改注册表以自启动。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\Currentversion\Run
"RavTimeXP" : %WINDOWS%\MSTRAY.EXE
二、修改注册表系统设置,隐藏文件后缀名称和具有隐藏属性的文件.
三、驻留内存,搜索根目录和局域网共享可写文件夹,名称采用文件夹名称或者当前窗口的标题。
同时,释放两个恶意脚本 “COMMENT.HTT”、“DESKTOP.INI”:当用户打开被感染的文件夹时,如果启动了以Web方式,系统按照“DESKTOP.INI”的设置动“COMMENT.HTT”。“COMMENT.HTT”利用IE的ActiveX漏洞执行病毒主程序“WINFILE.EXE”。
四、病毒的主要目的是调用Outlook发送携带病毒的信件。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-10-11
