病毒名称(中文):
重要文件变种b
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
15360
影响系统:
Win9xWinNT
病毒行为:
该病毒是重要文件的一个变种,通过邮件进行传播。该病毒第一次运行时会弹出一个内容为"FileName不是一个有效的Win32应用程序"的错误消息框,以此来迷惑用户.(其中FileName为当前运行的程序的文件名)。从http://w***q.5**j.com/网站下载密码解霸木马用以窃取用户各种敏感信息,给用户带来损失。
1、在注册表主键
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加如下键值:
"realsched"="%system%\realsched.exe"
2、将自身复制到系统目录下:
%system%\realsched.exe
3、该病毒第一次运行时会弹出一个内容为"FileName不是一个有效的Win32应用程序"的错误消息框,以此来迷惑用户.(其中FileName为当前运行的程序的文件名)
4、从网上下载两个文件:
http://w***q.5**j.com/**.***(病毒本身)
本地保存为
%temp%\~a.zip
http://w***q.5**j.com/**.***(密码解霸木马,用于窃取用户密码等敏感信息)
下载后本地保存为
%temp%\~Cttp.exe,并运行该文件
5、以下是病毒发送的邮件相关内容,邮件附件名随机生成:
详情查看附件。
在附件中...
重要文件。
附件中,请查收。
打开附件就知道了
请看附件说明。
一切都在附件当中。
附件中,不要告诉我打不开啊。
事关重大,请看附件
附件里有,注重查看。
瑞星QQ尾巴专杀。
想知道其秘密,看看附件。
在附件中(请先扫描附件,以防带病毒)
附件可能带病毒,打开前请扫描一下。
附件可能含有病毒,请小心打开。
在附件中,请查收(附件已通过瑞星扫描,放心打开)
请注重查收附件,可能携带病毒,打开前请先扫描,确定没有病毒了方可打开。
已经过NortonAntivirus企业版2004年11月3日病毒库扫描过,请放心打开附件。
假如有人向你借QQ,不要相信,附件中的那个人就上当了,你也看看以免上同样的当。
这怎么可能呢?不信你打开附件看看,真妈的行啊。
骗术面面观,具体例子打开附件就知道了,望广大Q民引起注重。
你见过吗?简直就是奇迹,这样都可以喔,嘻嘻,打开附件就明白了。
请先解压附件再说哈
千言万语也不如自己去看附件的文章,比我描术强多了。
哇!!!!有金子掉下来啦,不信,看看……就知道了。在哪里?呵呵~~~在附件中哦
今天你学到什么了吗?十万个小技巧等你看。详,见附件
有病毒在附件中,切勿打开!嘻嘻~~~~~吓你的!
有爱好加入吗?
差点忘了。
只能这样了。
就这个事了。
会员期已到。
还记得我吗?
我想对你说……
你爱我吗?
爱我就要看我给你的东西。
不可能
你为什么不等我?
你去哪了?
来点我啊?!
我想你
为什么你总是生我气
这几天你怎么了?
似乎和你一起看电影
现在你过得好吗?
你为什么总是逃避我
你回来吧
你为什么失约
不见不散
我们可以重新开始的
说好了,你却没来
道不尽的苦啊
一切为了你
你想过我没有?
气死我也
还是觉得你最好
天大秘密
我要和你做爱
我要和你上床
我要……那个嘛
银行卡密码
想看美女吗?
重要邮件。
你知道吗?
云网购卡中心购物卡已到
易趣购物,请查收
6、附件为一压缩包,包内有文件名为“ILoveYou.jpg.pif”的病毒文件