病毒名称:
Win32.Lama.A
类别: Win32蠕虫
病毒资料:
技术特征:
该病毒可借助电子邮件、IRC及Kazaa P2P网络三种方式进行传播。不过,由于病毒存在许多bug,极有可能无法向外蔓延。目前唯一可能使它传播的就是Kazaa,只要拷贝自身为如下文件名,然后诱使Kazaa用户下载,它即可繁殖:
C:Program FilesKaZaAMy Shared FolderMadonna All Videos.exe
C:Program FilesKaZaAMy Shared FolderFIFA World Cup Kora Japan 2002.exe
C:Program FilesKaZaAMy Shared FolderGamecube All Tricks.exe
C:Program FilesKaZaAMy Shared FolderThe Sexy Nigths Show.exe
C:Program FilesKaZaAMy Shared FolderOsama Bin Ladem Game.exe
C:Program FilesKaZaAMy Shared FolderCristina Aguilera Nude Pics.exe
C:Program FilesKaZaAMy Shared FolderKASPersky Lab.exe
C:Program FilesKaZaAMy Shared FolderPlayboy E-Zine July 2002.exe
C:Program FilesKaZaAMy Shared FolderPlaystation 2 All Tricks.exe
C:Program FilesKaZaAMy Shared FolderSexy Game.exe
C:Program FilesKaZaAMy Shared FolderHot Games Connection Kit.exe
C:Program FilesKaZaAMy Shared FolderLimpiador De Almas.exe
假如机器上不存在"C:Program FilesKaZaAMy Shared Folder"目录,病毒就无法传播。
此病毒还会创建如下两个文件,但由于包含了非正确的字符,可能无法创建:
C:Program FilesKaZaAMy Shared FolderAfganistan F**** At ****.exe
C:Program FilesKaZaAMy Shared FolderPamela Anderson F*****!.exe
假如病毒文件名不是"Grone.exe",则病毒不能运行,这需要它自动将以上文件名改名为"Grone.exe"。它还会通过IRC及电子邮件传播,为止会创建"C:Mi Alma Al Aire.vbs"文件来实现此功能,病毒会在它能运行之前将此文件删除。但此脚本文件有语法错误,导致无论如何都无法运行。
此病毒还会生成一个批处理文件C:Alma DestrUCtora.bat,包含了如下命令:
@cls
@Format C:autotest
@Format A:autotest
然后利用"c:Mi Alma Destructora.bat"文件名来运行此文件,由于存在许多错误,使得即使该批处理文件运行也不会产生危害。
病毒成功运行后会弹出对话框.
它会在桌面上隐藏自身图标,任务条上的按钮及时间显示也会被隐藏掉。另外,病毒还会试图删除如下文件:
C:archiv~1peravpav.dll
C:archiv~1peravper.dll
C:program filesperavpav.dll
C:program filesperavper.dll
C:basesavp.set
C:systemvshield.vxd
C:system32vshield.vxd
C:vshield.vxd
C:Archivos de programasNorton AntiVirusNAVDX.EXE
C:Archivos de programasNorton AntiVirusV325SCAN.dll
C:Archivos de programasNorton AntiVirusNAVP.VXD
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
别名:W32.HLLW.Lama, I-Worm.Lama, W32/Lama.Worm
会删诺顿且借助P2P等三途径传播的蠕虫问世。
发现日期:
2002-9-11