病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
54272
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个利用Rookit技术进行隐藏的后门病毒,病毒会释放出多个文件,以实现
隐藏自身,及各种后门的功能。
1.病毒运行后首先将自身拷贝到%WinDir%\system32目录下,并命名为
___u。
2.接着病毒释放另一病毒体到%WinDir%\system32目录下,并命名为
___r.exe(毒霸可查,Worm.Maslen.a.139264),并运行该病毒体,而原
病毒体自身会有意造成程序异常,并结束运行。
3.___r.exe运行后,释放同态链接文件___j.dll(毒霸可查,Worm.Maslen.a.21504),
和另一蠕虫病毒___n.exe(毒霸可查,Win32.Hack.IRCBot.b.15872)到
%WinDir%\system32目录下;病毒首先运行该蠕虫病毒,然后将释放的___j.dll
注入除病毒体自身之外的多个进程,并定时建立注册表启动项,以实现开机自启:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MicrosoftWindowsDHCP"="%WinDir%\system32\___r.exe"
4.病毒还利用Rookit技术,将文件名中带有"___"的文件进行隐藏,即使在命令行窗
口中也不能发现这种非凡的文件。
5.病毒会搜索硬盘中的文件,获取E-Mail地址,利用自身携带的SMTP引擎,发送带有
病毒附件的邮件,实现蠕虫式传播。
6.此外,该病毒还会盗取网上银行帐号,并对以下网址进行Dos(DenialOfService)攻
击:
kavkazcenter.com
kavkazcenter.net
kavkazcenter.info
kavkaz.uk.com
kavkaz.org.uk
kavkaz.tv
chechenpress.com
chechenpress.info
这些网址与俄罗斯车臣分裂主义有关。
