病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
69204
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个集木马、蠕虫一体的病毒。它复制自身到系统目录,并添加启动项;发作时生成一个临时病毒文件,注入到explorer.exe进程;它会关闭一些安全服务;从网上下载其他病毒;搜索本地邮件地址,发送邮件进行传播;给用户植入后门,使用户信息安全得不到保障。
1,隐蔽性强
1)首先生成%temp%\???.exe,并执行???.exe,自身退出
2)???.exe生成%temp%\???.tmp,并注入到explorer.exe,???.exe退出
3)???.tmp拷贝病毒到%system32%\thhellsedujsfl.exe
4)删除临时文件???.exe、???.tmp
5)病毒运行时,首先生成临时文件%temp%\???.tmp,注入???.tmp到explorer.exe,自身退出。
2,生成文件
%system32%\thhellsedujsfl.exe
%temp%\???.tmp
3,添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
fovflsoigxfmx="%system%\thhellsedujsfl.exe"
4,随机邮件内容
1)OsamaBinLadenCaptured.
Attachedsomepicsthatifound
2)SaddamHussein-AttemptedEscape,Shotdead.
Attachedsomepicsthatifound
3)Testing
4)Secret!
1)Hey,Rememberthis?
2)Hello,Longtime!Checkthisout!
3)Hey,Iwasgoingthroughmyalbum,andlookwhatIfound..
4)Hey,Checkthisout:-)
1)+++Attachment:NoVirusfound
+++PandaAntiVirus-Youareprotected
+++www.pandasoftware.com
2)+++Attachment:NoVirusfound
+++NormanAntiVirus-Youareprotected
+++www.norman.com
3)+++Attachment:NoVirusfound
+++F-SecureAntiVirus-Youareprotected
+++www.f-secure.com
4)+++Attachment:NoVirusfound
+++NortonAntiVirus-Youareprotected
+++www.symantec.com
附件名可能:
1)Cool
2)pics.1
3)funny.1
4)bush.1
5)joke.1
6)secret.2
1).pif
2).scr
3).exe