病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
45568
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个通过可移动磁盘传播的蠕虫病毒。该病毒首先找到可移动磁盘中的一个doc文件(如123.doc),将其改名为_YaMeDe.doc,并设为隐藏属性,然后将主机中的病毒文件拷贝到可移动磁盘中,并以原doc文件为文件名,exe为扩展名(如123.doc.exe),该病毒的图标为Word文档图标,用户双击运行该病毒时,病毒检查自己是否在system目录下,假如不是,则先打开已经改名的_YaMeDe.doc(效果跟直接打开123.doc一样),并感染用户主机。该病毒的主要危害是结束大量杀软进程,以及任务治理器及QQ进程。该病毒发作后的现象是杀软,防火墙退出,任务治理器禁用,QQ启动不了等现象。该病毒轻易产生变种,建议用户及时更新杀毒软件的病毒特征库,以查杀该病毒。
1,生成文件
%system%\msmsgr.exe
%system%\zm.dll
2,添加注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"msnmsgr"="msmsgr.exe"
3,主要技术
msmsgr.exe运行后首先打开_YaMeDe.doc,使用户觉得一切正常;然后拷贝自身到系统目录下,并释放文件zm.dll,然后注入zm.dll到explorer.exe和winlogon.exe进程;然后退出自身进程。
zm.dll运行时首先将msmsgr.exe读入内存,并不停检测msmsgr.exe是否存在,不存在则进行写入病毒文件msmsgr.exe,并不断写注册表启动项,通过此方法来保护自身;然后结束大量进程并进行感染。
4,结束进程名含有下列字符串的进程
rising
skynet
symantec
mcafee
gate
rfw.exe
ravmon.exe
kill
nav
duba
kav
kv
taskmgr.exe
msnmsgr.exe
qq.exe
5,传播方法
首先找到可移动磁盘中的一个doc文件(如123.doc),将其改名为_YaMeDe.doc,并设为隐藏属性,然后将主机中的病毒文件拷贝到可移动磁盘中,并以原doc文件为文件名,exe为扩展名(如123.doc.exe),该病毒的图标为Word文档图标。
6,其它信息
zm.dll中有一输出函数,功能是依次弹出标题为“seven”,内容为下列的对话框:
啊,被你发现了
毫不利己,专门损人
去安全模式下删除
毕业了,梦梦
zm.dll的一功能模块没有实现,猜测功能是一个邮件发送引擎,可能通过邮件发送盗取的信息、文件或病毒文件。该模块没有完成,推测可能会有变种。