病毒名称:
W32.Looksky.F@mm
类别: 邮件病毒
病毒资料:
该病毒长度可变,感染 windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统,它释放一些有害程序,窃取用户信息,当感染此病毒时,有以下危害:
A 复制自身到 Windows 目录的 sachostx.exe
B 释放一些有害程序到系统目录:
attrib.ini - 保存窃取的用户信息
hard.lck - 长度为零的无害文件
msvcrl.dll - 记录用户键盘操作的模块
sachostp.exe - 搜索用户信息的模块,包括系统信息、用户邮件登陆名、口令等
sachostw.exe - 病毒的邮件发送模块
C 增加注册表项"HostSrv" = "%Windir%\sachostx.exe"到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
使得的病毒每次开机后自动执行
D 窃取信息,记录用户键盘操作,执行远程黑客下达的命令
E 从以下地址自动更新病毒版本
http://proxy4u.ws:8080/[已删除]/update.htm
http://proxy4u.ws:8080/[已删除]/download.exe
http://usproxy2u.ws:8080/[已删除]/update.htm
http://usproxy2u.ws:8080/[已删除]/download.exe
F 从用户通信簿和htm文件中搜索邮件地址,使用以下方式发送自身
标题: Your mail Account is Suspended
邮件体:We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
附件:acc_info9.exe
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2006-1-9
