病毒名称(中文):
莫尼卡
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
86016
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个蠕虫病毒,该病毒通过邮件和文件共享传播.当病毒运行时会从染毒计算机中搜索邮件地址,并且发送邮件会包含一个含有链接到蠕虫副本地址的链接,并且还会盗取被感染用户机器上的敏感信息,对用户带来诸多不便.
1.生成文件:
%system%\mstcpmon.exe
%system%\chkdskw.exe
%system%\itstore.dll
%system%\mslogon.dll
%system%\mswshell.dll
2.增加注册表项,使病毒开机运行.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
mstcpmon
mstcpmon.exe
3.病毒向从用户计算机上搜索到的邮箱地址发送邮件,但是不发往含有以下字符串的地址:
.subscribe
@avp.
@fsecure
@hotmail
@iana
@messagelab
@microsoft
@norman
@norton
@symantec
@virusli
abuse
admin
anyone@
bugs@
cafee
certific
certs@
contact@
contract@
feste
free-av
f-secur
gold-
gold-certs@
help@
hostmaster@
icrosoft
info@
linux
listserv
local
netadmin@
nobody@
noone@
noreply
ntivi
oocies
panda
postmaster@
rating@
root@
4.病毒把自己拷贝到含有share和download的文件夹中,并且改名为以下随机一个:
PornoScreensaver.scr
Serials.txt.exe
KAV5.0.exe
KasperskyAntivirus5.0.exe
Pornopicsarhive,xxx.exe
WindowsSourcecodeupdate.doc.exe
ACDSee9.exe
AdobePhotoshop9full.exe
AheadNero7.exe
5.修改hosts文件,使用户不能正常升级安全软件:
127.0.0.1www.kaspersky.com
127.0.0.1www.kaspersky-labs.com
127.0.0.1www.downloads-us3.kaspersky-labs.com
127.0.0.1ftp.kaspersky.com
127.0.0.1downloads1.kaspersky-labs.com
127.0.0.1www.mcafee.com
127.0.0.1ftp.mcafee.com
127.0.0.1www.trendmicro.com
127.0.0.1www.symantec.com