病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
114967
影响系统:
Win9xWinNT
病毒行为:
这是一个通过msn传播的蠕虫病毒,释放两个病毒win32.hack.sdbot.wt和Worm.kelvir.8192。用户电脑会连接到irc服务器,接受黑客控制,下栽病毒程序,窃取用户信息;弱猜测其他计算机密码;随机开放本地端口;堵塞网络。
1,病毒命名为%username%@hotmail.com。释放两个带毒文件:uncanny.exe(Worm.kelvir.8192)和advbot.exe(win32.hack.sdbot.wt)
2,win32.hack.sdbot.wt会产生以下影响:
a,拷贝自身到以下目录:
%system%\msngms.exe
b,修改注册表,在以下键中增加键值:“MsnConfigurationLoader=msngms.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
伪装成msn配置程序,在用户开机的时候达到自启动的目的
c,连接到irc服务器,用户计算机会完全被黑客控制,可以下载mydoom蠕虫并执行,造成网络堵塞。
d,窃取用户电脑上的游戏cd号,如FIFA2000,Half-Life等。
e,弱猜测其它计算机密码,如:winxp,password,12345,google等。若成功,则把自身复制到计算机中,窃取用户信息。
f,随机开放本机一个端口,这个端口可以被用来感染计算机
3,Worm.kelvir.8192会产生以下影响:
a,通过msn发送一个链接"http://xxxx.net/pictures.php?email=xxxx",当用户点击后,%username%@hotmail.com会被下载并执行。
