worm.kodo.aa

王朝other·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

科多兽

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

其它

病毒长度:

47616

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是个感染型的蠕虫病毒,感染扩展名为.exe、.htm以及.html的文件,会通过局域网和邮件传播。

1、病毒运行后会从资源释放文件到到%tmp%目录,文件名为随即生成。该资源类型为EXEFILE,名称为EXE。

2、创建进程运行该释放的文件。

3、创建一个MUTEX监测自身是否为第一个运行实例,若不是,则进程终止。

4、监测自身文件名是否为ePower.exe,若不是执行(5),否则执行(6)。

5、复制自身到%system%\ePower.exe,并运行,退出自身进程。

6、从资源中释放驱动文件到%system%目录下,文件名随机(扩展名为sys)。之后会删除该文件。

7、修改注册表,创建名字为SysDrver的服务。

8、创建线程,功能如下:

线程1:枚举网络可用资源,尝试通过IPC连接传播自身;发送邮件,通过email传播自身

线程2:连接网络下载病毒.

线程3:从Z盘到B盘,搜索所有exe、htm、html为扩展名的文件,并感染(系统盘除外)。

感染exe文件方式:病毒将自身复制到%tmp%目录下的随机文件名文件,读取欲感染的文件,并将其加入到病毒副本资源的EXEFILE类型的EXE。用该病毒副本覆盖于感染的文件完成感染,删除副本。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航