病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
67072
影响系统:
Win9xWinNT
病毒行为:
这是一个感染型蠕虫病毒。该病毒关闭一些杀毒软件和防火墙。然后扫描磁盘文件并感染可执行文件,造成硬盘指示灯狂闪,机子速度变慢的现象,由于频繁读写文件会使硬盘寿命减少。除此之外,该病毒从网上下载另一病毒,win32.Troj.Delf.fn.149836木马,该木马盗取各种密码,并打开后门,供别人盗取文件。该病毒通过弱口令进行传播,建议用户将计算机密码设长一点、复杂一点。
1,释放文件:
%SystemRoot%\Logo1_.exe。
%病毒目录%\virDll.dll,并注入explorer.exe进程。
2,下载木马
virDll.dll下载http://*********.net/**/1.exe(win32.Troj.Delf.fn.149836)到当前目录并执行。
3,感染文件
感染大小小于10M的*.exe可执行文件。
被感染文件执行后,在%Temp%生成bat文件和tmp文件(如$$a3.bat和$$a3.tmp),执行bat文件删除病毒自己,还原可执行文件。
4,不感染的文件夹:
system
system32
windows
DocumentsandSettings
SystemVolumeInformation
Recycled
winnt
\ProgramFilesWindowsNT
WindowsUpdate
WindowsMediaPlayer
OutlookExpress
InternetExplorer
ComPlusApplications
NetMeeting
CommonFiles
Messenger
MicrosoftOffice
InstallShieldInstallationInformation
MSN
MicrosoftFrontpage
MovieMaker
MSNGamingZone
5,添加注册表
HKLM\Software\soft\DownloadWWW"auto"="1"(VirDll.dll释放注入标志)
6,关闭下列进程
RavMon.exe
天网防火墙个人版
天网防火墙企业版
噬菌体
TfLockDownMain(窗体类名)
ZoneAlarm
eghost.exe
mailmon.exe
KAVPFW.EXE
KWatchUI.exe
IPARMOR.EXE
7,卸载软件
密码防盗专家
8,关闭服务
KingsoftAntivirusService
9,传播方式
ipc$,admin$共享服务,弱口令连接传播病毒。
