Worm.Antinny.x.382976 - 王朝网络宽屏版

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

382976

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

一个通过Winny(日本一个常用的P2P软件)来传播的蠕虫，

发作时会在屏幕上产生红色斑点，影响了用户的日常工作。

1:显示信息

病毒启动后，会在临时目录里面建立一个与自己同名的.txt文件，写入以下文字：

----------------------------------------------------------------

Trillianv0.74E

September,2003

h**p://www.ceruleanstudios.com

RELEASENOTES

----------------------------------------------------------------

ThanksfordownloadingTrillian!

TrillianisachatclientcurrentlysupportingIRC,AIM,ICQ,MSN

Messenger,andYahoo!Messenger.

Trillian0.74includesafewnewfeaturesandbugfixes.Briefly:

*TrillianBarInterface

*Somesecurityissuesaddressed

*DirectIMproblemsfixed

*Andminorbugfixesthroughout

Wewouldliketoagainextendourthankstoourwonderfulbetatestingteam,

whohaveconsistentlyprovedthemselvesausefulanddedicatedbunch.

Forspecificinformationonchanges,pleaseseetheversions.txtfile.

Enjoy,andpleasesendallcomments/featurerequests/bugreportstousat

bugs**ceruleanstudios.com.

HELPFULLINKS

----------------------------------------------------------------

*YouneedWinsock2touseTrillian.Ifyoureceiveanerrormessage

aboutamissingDLLonstartup(usuallyws2_32.dll),pleasegohere:

h**p://www.microsoft.com/windows95/downloads/contents/wuadmintools/s_wunetworkingtools/w95sockets2/

*Ifyouwishtoworkonskins,checkouttheunofficialskintutorialat:

h**p://www.ceruleanstudios.com/skins/tutorial/

----------------------------------------------------------------

然后调用记事本显示此文字。

2:复制本体并改写注册表：

病毒会把自身拷贝到ProgramFiles\NetMeeting\netmeetingloader.exe中，并在

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

下创建一个"NETMEETINGLOADER"的键名，键值为

""C:\ProgramFiles\NetMeeting\netmeetingloader.exe"/start"

使病毒随windows启动。

3:病毒的影响：

病毒会枚举C盘根目录下的所有文件，做一个列表，记录在临时文件夹里面,文件名是用户名[用户名].txt

(举一例子：若用户的名字是google，那么其文件名为google[google].txt).

内容是一些信息文字与C盘根目录的所有文件.

信息文件意思大约是说是要求公司使用Winny，使公司的内部资料公开。

病毒也会通过Winny共享传给其它用户，也可能会传出使用户资源造成泄漏的文件。

病毒也不定时的在屏幕的随机位置产生红色斑点，影响用户的工作。