病毒名称(中文):
恶邮差变种
病毒别名:
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
152
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
编写工具:VC6.0
传染条件:
发作条件:
系统修改:
A、在系统目录及系统安装目录下添加以下文件:
%System%TkBellExe.exe
%System%Update_OB.exe
%System%hxdef.exe
%System%RAVMOND.exe
%System%IEXPLORE.EXE
%System%kernel66.dll
%System%ODBCdll
%System%msjdbc.dll
%System%MSSIGN30.dll
%System%NetMeeting.exe
%System%Spollsv.exe
%System%LMMIB20.DLL
%SystemRoot%Mediammc.exe
%SystemRoot%svchost.exe
B、在病毒第一次运行的目录下生成一些RAR和ZIP压缩的文件:
如:bak.exe等
C、在C盘下生成以下文件:
c:NetLog.txt
D、添加以下注册表键值:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsrun"RAVMOND.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
unServicesSystemTra"%SystemRoot%SysTra.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunWinHelp"%System%TkBellExe.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHardwareProfile"%System%hxdef.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunVFWEncoder/DecoderSettings"RUNDLL32.EXEMSSIGN30.DLLondll_reg"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunMicrosoftNetMeetingAssociates,Inc."NetMeeting.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunProgramInWindows"%System%IEXPLORE.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunShellExtension"%System%spollsv.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunProtectedStorage"RUNDLL32.EXEMSSIGN30.DLLondll_reg"
发作现象:
非凡说明: