病毒名称(中文):
毁灭火影5.0
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
203776
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
编写工具:
BorlandDelphi
传染条件:
发作条件:
系统修改:
A、将自身复制到:
"%SystemRoot%SOS.exe"
B、在注册表主键HKEY_LOCAL_MATIONSOFTWAREMicrosoftWindowsCurrentVersionRunServices下添加键值:
"SOS"="%SystemRoot%SOS.exe"
在注册表主键HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun下添加键值:
"SOS"="%SystemRoot%SOS.exe"
在注册表主键HKEY_CLASS_ROOT下创建子键:
"legendofmir2"
在注册表主键HKEY_CLASS_ROOTlegendofmir2下创建键值
"NowCount"="0"
"WinX"="1"
C、根据配置,可能感染文件。感染方法如下:
(1)将病毒体直接手稿原始文件头,
(2)在新文件的后面附加16字节的感染标志:
0D53797068696C6973204E6F2E310000---->.SyphilisNo.1..
(3)再附加4字节的病毒体长度数据。
发作现象:
A、系统反应变慢,有不明硬盘读写。
B、终止如下程序的运行:
RavMon.exe
ZoneAlarm
EGHOST.EXE
MAILMON.EXE
netbargp.exe
天网防火墙个人版
天网防火墙企业版
木马克星
噬菌体
LockDown
C、2000/XP系统下,由于文件保护,windows会弹出文件被替换的提示,见附图<20040711_Win32.Troj.MirHmhy50.JPG>
非凡说明:
这是一个感染文件的传奇2木马,记录帐号信息发送到指定邮箱。
