病毒名称(中文):
病毒别名:
IM-Worm.Win32.Aimes.a[AVP],IM-Worm.Win32.Aimes.a[R
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
32768
影响系统:
Win9xWinNT
病毒行为:
这是一个通过AOLInstantMessenger和电子邮件传播的蠕虫病毒。该病毒会禁止用户使用任务治理器和注册表编辑器,关闭Windows的自动更新功能,强行终止某些进程,从网络上下载病毒到本地机器,试图将自己拷贝到软盘驱动器A中,向AOLInstantMessenger联系人发送一条消息诱骗该联系人打开附件,从Outlook地址薄里面收集邮件地址并将病毒做为附件发送给这些邮件接收者,最后将机器设置成休眠状态。
1)病毒运行时释放下列文件:
%SystemRoot%\Msvbdll.pif
%SystemRoot%\msVBdll.exe
%ProgramFiles%\Sony\VAIOActionSetup\MsVBdll32.exe
%UserProfile%\StartMenu\Programs\Startup\msVBdll.exe
2)添加启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"MsVBdll"="%SystemRoot%\MsVBdll.pif"
3)禁止通过Windows安全中心的防火墙、反病毒、更新通知
HKEY_CURRENT_USER\Software\Microsoft\securitycenter
HKEY_LOCAL_MACHINE\Software\Microsoft\securitycenter
"FirewallDisableNotify"="1"
"UpdatesDisableNotify"="1"
"AntiVirusDisableNotify"="1"
4)禁止使用任务治理器和注册表编辑器
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableTaskMgr"="1"
"DisableRegistryTools"="1"
5)禁止Windows自动更新
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
"NoAutoUpdate"="1"
6)删除以下键值
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Run
"Windows"="AutoUpdate.exe"
7)显示下面的某一个对话框
标题:"BlowMe"
内容:"HelloWindowshassufferedfromaseriouserror,itmayneverrecoverunlessyouperformoralseconthecddrive"
标题:"Disgusting"
内容:"Youareviewingthismessagebecausesomeoneinthehouseishomosexual"
8)打开AOLInstantMessenger并向联系人发送消息"Heywhatsup!!lookwhatIdidtomyhair...lol!!"和附件%SystemRoot%\picture.pif
9)从网上下载文件到C:\Fix_SP2.zip
10)从Outlook地址薄里面收集邮件地址并将病毒做为附件发送给这些邮件接收者
邮件主题:ServicePack2BUG!!
邮件正文:
DearuserIhavebeeninformedthattherewasaBUGinWindowsServicePack2whichwasfixedIrecommendyoutodownloadthisPatchversionwhichwillfixthebugandkeepyoursystemsafe.
YouwillfindthePatchfileintheattachment,fealfreetosendittoanyone.
I"llbeintouchwithyouassoonasanotherbugisfound.
Regards,
A.H
附件:C:\Fix_SP2.zip
11)强行终止以下2个进程:
svchost.exe
lsass.exe
12)将机器设置为休眠状态,并试图将自己拷贝到A:\homework.exe,假如驱动器A不可用,就显示"Run-timeerror"71":Disknotready"。
