病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
237568
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows平台下专门针对p2p软件Winny而设计的蠕虫病毒,病毒通过Winny向外传播病毒,病毒同时会在被感染的机器上搜索outlook的地址本,向外发送病毒邮件。
病毒主要通过Email方式和Winny进行传播。
1、将自身复制到当前用户的启动项中:
c:\Documetsandsettings\username\startmenu\program\启动\svohcst.exe
2、将自身复制为伪系统正常文件,文件名如下:
c:\windows\svohcsh.exe
3、病毒再次通过伪装成系统windows文件夹的如下exe文件,诱使用户运行该病毒,当用户双击运行后,病毒弹出正常的Windows文件夹窗体。
c:\WINDOWS.exe(多个空格)
4、病毒将自身添加到以下注册表启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohcst.exe"="C:\\WINDOWS\\svohcst.exe"
5、向c:\windows\desktop.ini文件中添加如下内容:
[.ShellClassInfo]
IconIndex=0
IconFile=C:\WINDOWS\SYSTEM32\SHELL32.DLL
6、病毒运行后搜索进程中是否有以下进程,如发现则进行传播病毒:
WINNYP.EXE、WINNY.EXE
7、病毒通过访问以下注册表部分,获取outlook用户帐号信息:
HKEY_CURRENT_USER\Software\Microsoft\InternetAccountManager\Accounts
8、获取outlook如下相关信息,保存到outlook\account.txt文件中:
POP3Server、POP3UserName、POP3Password2、SMTPDisplayName、SMTPEmailAddress、SMTPServer、
9、病毒同时会尝试感染以下方式的文件:
.tgz
.gz
.arj
.lzh
.arc
.zoo
.Z