worm.kodo.aa

病毒名稱(中文): 科多獸 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 其它 病毒長度: 47616 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是個感染型的蠕蟲病毒，感染擴展名爲.exe、.htm以及.html的文件，會通過局域網和郵件傳播。 1、病毒運行後會從資源釋放文件到到%tmp%目錄，文件名爲隨即生成。該資源類型爲EXEFILE，名稱爲EXE。 2、創建進程運行該釋放的文件。 3、創建一個MUTEX監測自身是否爲第一個運行實例，若不是，則進程終止。 4、監測自身文件名是否爲ePower.exe，若不是執行（5），否則執行（6）。 5、複制自身到%system%\ePower.exe，並運行，退出自身進程。 6、從資源中釋放驅動文件到%system%目錄下，文件名隨機（擴展名爲sys）。之後會刪除該文件。 7、修改注冊表，創建名字爲SysDrver的服務。 8、創建線程，功能如下： 線程1：枚舉網絡可用資源，嘗試通過IPC連接傳播自身；發送郵件，通過email傳播自身 線程2：連接網絡下載病毒. 線程3：從Z盤到B盤，搜索所有exe、htm、html爲擴展名的文件，並感染(系統盤除外)。 感染exe文件方式：病毒將自身複制到%tmp%目錄下的隨機文件名文件，讀取欲感染的文件，並將其加入到病毒副本資源的EXEFILE類型的EXE。用該病毒副本覆蓋于感染的文件完成感染，刪除副本。