病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
19821
影响系统:
Win9xWinNT
病毒行为:
该病毒是蠕虫病毒,通过网络共享传播,因此强烈建议用户使用复杂的用户名和口令。该病毒运行时拷贝副本到系统目录,执行系统目录副本,然后删除自身(非系统目录下副本),来隐藏自己。系统目录病毒副本运行后,频繁创建线程进行网络连接传播,并且不断删除该病毒旧版本的进程、注册表项、文件。因此可能堵塞网络和极大地浪费了主机资源。该病毒最大的威胁是传播木马病毒Win32.Troj.Volac.dr,在用户主机上留下后门和偷取资料。
1,拷贝文件
%system%\MSFWMca.exe(真正执行病毒操作的副本)
%system%\MSldwrD.exe(木马病毒Win32.Troj.Volac.dr,通常和Worm.Heher.k一起传播,病毒目录下有时才拷贝)
%SystemRoot%\LGX32.dll(病毒自己的日志)
%Temp%\~00*.bat(批处理文件,用于病毒自删除)
2,添加注册表项
HKLM\Software\MicroSoft\windows\CurrentVersion\Run
"nbMcaFW"="%system%\MSFWMca.exe"(启动项)
3,删除注册表项
HKLM\Software\MicroSoft\windows\CurrentVersion\Run
中以下项
"MSMNavW"
"MSMNavWA"
"MSMNavWB"
"MSMNavWC"
"MSMNavWD"
"MSMNavWE"
"MSMNavWF"
"MSMNavWG"
"MSMNavWH"
4,删除文件
%system%、其他目录(%startup%,%Inicio%,%Inicializar%,%autostart%,%esecuzioneautomatica%)中以下文件
MSldwrB.exe
MSWkwr.exe
MSWkwrA.exe
MSWkwrB.exe
MSWkwrC.exe
MSWkwrD.exe
MSWkwrE.exe
MSWkwrF.exe
MSWkwrG.exe
MSWkwrH.exe
包括以上目录以及当前目录中以下文件
MSldwr.exe
MSldwrA.exe
MSldwrB.exe
MSldwrC.exe
5,关闭以下进程
MSldwrB.exe
MSWkwr.exe
MSWkwrA.exe
MSWkwrB.exe
MSWkwrC.exe
MSWkwrD.exe
MSWkwrE.exe
MSWkwrF.exe
MSWkwrG.exe
MSWkwrH.exe
6,传播方式
通过连接139、445端口,若成功,设置网络共享(ipc$),使用弱用户名空口令进行传播
使用帐户如下
Administrator
Guest
Owner