病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
53248
影响系统:
WinXPWin2003
病毒行为:
这是一个能窃取移动存储介质中doc文件的病毒。
该病毒能释放病毒文件到指定目录,然后把自身添加到自启动项,达到自启动的目的。然后自动检测用户是否插入移动硬盘和闪盘,假如存在,则把移动硬盘和闪盘上的所有doc文件拷贝到c:\windows\wj文件夹下面。随后病毒会把自身拷贝到移动硬盘和闪盘上面,并命名为Win32.exe,或者是Win33.exe,达到传播的目的;然后病毒会复制硬盘上所有的文件到c:\windows\wj文件夹下面,并把后缀名该为.com.该病毒还能把自身添加到开始菜单中,伪装成msword程序,能欺骗用户。
1,释放文件到以下目录:
c:\windows\doc.exe
c:\windows\doc1.exe
c:\abc.reg
2,生成的reg文件能修改下列注册表项,可以隐藏病毒文件和添加自身到自启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]
"doc"="c:\\windows\\doc.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHO
WALL]
"CheckedValue"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileEx
t]
"CheckedValue"=dword:00000001
3,拷贝移动存储介质和硬盘上的doc到c:\windows\wj文件夹下面
4,病毒会把自身拷贝到移动硬盘和闪盘上面,并命名为Win32.exe,或者是Win33.exe
5,把自身添加到开始菜单中,伪装成"MicrosoftWord.exe",欺骗用户点击
