病毒名称: SCRIPT.NoMercy.A 类别: 脚本病毒 病毒资料: 脚本病毒 SCRIPT.NoMercy.A,依赖系统WIN95/98/2000,感染VBS类文件。病毒体中有以下信息:
“NAME=Author CONTENT=foxz of NoMercyVirusTeam”。
发作:
每月13日或30日时, 出现标题为" Html.NoMercy",内容为" God, why you did it to me”的消息框。
程序流程:
1)此病毒为一个病毒小组所作,主要感染
.ASP,.HTM,.HTML,.shtml,.STM类文件。
2)一旦双击被此病毒感染的网页时,此病毒即执行。此病毒执行时,判断当前浏览器类型,如果是NETSCAPE,则不运行;如果是IE4.0版本,则打出内容为:
"IF Your Active-X ask to you,and you want to continue load this page answer YES!”的对话框。单击“确定”,则病毒继续执行。
3)病毒在以下路径中寻找以上5种类型的文件,如果有则感染之。
病毒感染路径: C:\
C:\temp
C:\My Documents
C:\Windows\Desktop
C:\Windows\Web
C:\Windows\Web\Wallpaper
C:\Windows\Help
C:\Windows\Temp
C:\Windows\ShellNew
C:\Windows\System
C:\Windows
C:\Winnt\Desktop
C:\Winnt\Web
C:\Winnt\Web\Wallpaper
C:\Winnt\Help
C:\Winnt\Temp
C:\Winnt\ShellNew
C:\Winnt\System
C:\Winnt
C:\Program Files\Internet EXPlorer
\Connection Wizard
C:\Program Files\Microsoft FrontPage\bin
C:\Program Files\Macromedia\Flash 3
C:\Program Files\Macromedia\Flash 3\Help
C:\Program Files\Macromedia\Flash 3\Help\html
C:\Program Files\Macromedia\Flash 3\Help\html\80SampleSite
C:\Program Files\sambar41\sysadmin
C:\Program Files\Microsoft Office\Office\Headers
C:\Inetpub\wwwroot
C:\Inetpub\wwwroot\myweb
C:\webshare\wwwroot
C:\webshare\wwwroot\myweb
病毒将自身代码拷贝到目标文件头部完成感染。
4)伺机发作。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2001-11-1