病毒名称(中文):
将死者
病毒别名:
I-Worm.Goner[AVP],W32.Goner.A@mm[NAV],WORM_GONER
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
38912
影响系统:
Win9xWinNT
病毒行为:
“将死者”病毒是一种通过Email传播的蠕虫病毒,其附件名为GONE.SCR,它伪装成一个屏幕护程序。邮件特定如下:
主题:Hi
正文:
Howareyou?
WhenIsawthisscreensaver,IimmediatelythoughtaboutyouIaminaharry,Ipromiseyouwillloveit!
1.该病毒用VisualBasic编写,经过UPX压缩。由于是VB编写的病毒,它运行时就需要一个VB的动态链接库msvbvm60.dll,若用户的计算机里没这个文件,病毒就无法被激活。
2.此病毒运行时会将自身拷贝至%system%目录下。
3.病毒在注册表的主键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
中添加键值"="C:\%SYSTEM%\gone.scr"
以便该病毒在每次重启Windows时运行。
4.为了更好的运行,此病毒还会搜索计算机里的反病毒软件,它首先检查内存中是否有如下程序:
APLICA32.EXE
AVCONSOL.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
ESAFE.EXE
FRW.EXE
FEWEB.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
LOCKDOWN2000.EXE
PCFWallIcon.EXE
PW32.EXE
TDS2-98.EXE
TDS2-NT.EXE
VP32.EXE
VPCC.EXE
VPM.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
VW32.EXE
WEBSCANX.EXE
ZONEALARM.EXE
若存在上述程序,病毒将会自动关闭它们,同时查找硬盘上对应文件所在目录,并删除该目录下的所有文件。若无法删除,病毒会修改wininit.ini文件以便在系统重启时删除文件。