病毒名称(中文):
病毒别名:
Worm.Win32.Breaker.a[avp]
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
19572
影响系统:
Win9xWinNT
病毒行为:
该病毒是一个蠕虫病毒,通过邮件传播,把自己附加在邮件后面,用户感染病毒后会打开一个网页
指向http://www.****ks.am/d.x?***38,修改启动项,来达到每次开机启动自己的目的,还会破坏自己的系统文件,如注册表,任务治理器,cmd
同时弹出一个对话框
1。修改注册表启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runhrvkk"C:\WINNT\Tasks\gyggl.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runrpcfp"C:\WINNT\Fonts\gyggl.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Rungyggl"C:\WINNT\system\gyggl.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runjlqbh"C:\WINNT\system32\gyggl.exe"
HKEY_USERS\S-1-5-21-515967899-57989841-839522115-500\Software\Microsoft\Windows\CurrentVersion\Runhrvkk"C:\WINNT\Tasks\gyggl.exe"
HKEY_USERS\S-1-5-21-515967899-57989841-839522115-500\Software\Microsoft\Windows\CurrentVersion\Runrpcfp"C:\WINNT\Fonts\gyggl.exe"
2。拷贝自己到以下目录
%systemroot%\command.com
%systemroot%\wupdmgr.exe
%systemroot%\Fonts\gyggl.exe
%systemroot%\Tasks\gyggl.exe
%system%\gyggl.exe
%system%\msconfig.exe
%system%\systray.exe
%system32%\gyggl.exe
3。创建邮件文件
%systemroot%\Tasks\ma1.tmp
%systemroot%\Tasks\codm
3。把以下系统文件替换为病毒文件
%systemroot%\regedit.exe
%system32%\cmd.exe
%system32%\regedt32.exe
%system32%\taskmgr.exe
%system32%\wupdmgr.exe
%system32%\dllcache\cmd.exe
%system32%\dllcache\regedit.exe
%system32%\dllcache\regedt32.exe
%system32%\dllcache\taskmgr.exe
%system32%\dllcache\wupdmgr.exe