病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
208937
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个仅以传播为目的纯粹的蠕虫病毒,该病毒仅在本地机器进行传播,尚不具备网络传播功能。
由于利用了autorun.pif启动文件,修改txt文件关联,以及添加多个启动项,该蠕虫病毒具备很强
的本地传播能力。另外在病毒清除后,需要恢复默认的txt文件关联。
1.病毒建立名为“obj”的互斥体,以确保只有一个病毒体在内存中运行。
2.病毒创建线程强行关闭以下系统治理工具进程:
regedit.exe
taskmgr.exe
cmd.exe
ntvdm.exe
并尝试关闭含有以下字样的进程:
"proc"
"进程"
"任务"
"毒"
"木马"
"杀"
3.病毒建立定时器,每1200毫秒进行以下操作:
i)将自身拷贝到每个逻辑分区的根目录下,命名为reper.exe,并在根目录下生成
auturun.ini文件,该配置文件内容如下:
-----------autorun.ini---------------------
[autorun]
open=reper.exe
---------------------------------------------
ii)将自身拷贝到系统目录%WinDir%下,命名为viewer.exe,并在注册表中添加相关
启动项,以便实现开机自启:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"runreper"="%Windir%\viewer.exe"
iii)将自身拷贝到系统目录%WinDir%下,命名为N0TEPAD.exe(注重"0"是零),
同时修改txt文件关联:
[HKCU\txtfile\shell\open\command]
@="%WinDir%\N0TEPAD.exe%1"
iv)将自身拷贝到启动项目录中,并命名为startup.pif;