病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
28672
影响系统:
Win9xWinNT
病毒行为:
该病毒是一个通过p2p软件传播的蠕虫病毒,它的副本病毒名是随机生成的,一般冒充反病毒或或破解软件,诱使用户下载并运行。该病毒会加载启动项,使每次开机自动运行。该病毒运行时,不断查找c盘p2p软件的共享文件夹(由于通过字符串匹配查找,有时也在正常文件夹中。呵呵,真麻烦),找到则不断复制自身到此文件夹中,供别人下载。由于大量占用了系统资源,使用户感到计算机运行非常缓慢,硬盘空间大量减少。给用户正常的生活、工作、游戏造成极坏的影响。
1,生成文件
%system%\fLock.clk。
%system%\*.*(随机文件,如wxANAB9L.cpl,后缀为exe,com,pif,cpl中一种)。
其它c盘下乱七八糟副本一大堆。
2,修改注册表
HKLM\Software\Microsoft\windows\CurrentVersion\RunServices
"%system%\os2\dll:随机生成的串"="%system%\病毒名(上面生成的随机文件名)"。
3,病毒行为
在c盘下查找包含字符串"share"的文件夹,找到则大量复制自身副本,随机拼凑命名为windowsfirewall.exe等等。
4,注册表项名称组合
%system%\os2\dll:+第一串+第二串
第一串为:
Norton
Windows
TrendMicro
Symantec
Panda
Government
Microsoft
Giant
McCaffee
Firewall
AntiVirus
VirusProtection
AntiHack
AutoUpdate
InfectionTracker
AntiSpyware
第二串为:
Service
Process
Manager
Task
Server
5,共享文件夹中病毒副本命名组合
第一串[i]+第二串[i]+[第三串]+后缀(第三串不一定会有)。
第一串[1]
Windows
Microsoft
Norton
Symantec
第二串[1]
Firewall
AntiVirus
VirusProtection
谝淮
