病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
3515723
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为windows平台下一种新的主要通过U盘、移动硬盘、mp3等移动设备进行传播的病毒,病毒运行后释放出伪杀毒软件名称的病毒文件,然后将自身加入系统自启动项,用户使用移动设备连接电脑时,病毒尝试将自身复制至移动设备,并生成特定的病毒自启动文件,使感染病毒后,用户使用移动设备时,进行传播.
病毒主要通过U盘、移动硬盘等移动设备进行传播。
1、病毒运行后生成以下相关文件:
%WinDir%\RavMonE.exe
RavMoneE.exe.log
RavMonlog
2、该病毒运行过程中需要一个名为"MSVC71.dll"的支持库文件,系统缺少该文件时,系统出现以下错误提示:
无法找到动态链接库MSVCR71.dll于指定的路径D:\Virus;.;C:\WINNT\System32;C:\WINNT\system;C:\WINNT;C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\Wbem;d:\sysinternals;d:\utilities上。
3、病毒运行后,同时将自身添加至以下注册表自启动项:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RavAV"="%WinDir%\RavMonE.exe"
4、当用户插入移动设备时,病毒感染该移动设备,并在移动设备的根目录下生成"autorun.inf"文件,文件内容如下:
[AutoRun]
open=RavMonE.exee
shellexecute=RavMonE.exee
shell\Auto\command=RavMonE.exee
shell=Auto
5、病毒运行时,生成的"RavMoneE.exe.log"文件内容如下:
Traceback(mostrecentcalllast):
File"RavMonE.py",line1,in?
File"zipextimporter.pyo",line78,inload_module
File"twisted\internet\reactor.pyo",line12,in?
File"twisted\internet\selectreactor.pyo",line182,ininstall
File"twisted\internet\posixbase.pyo",line168,in__init__
File"twisted\internet\base.pyo",line268,in__init__
File"twisted\internet\base.pyo",line568,in_initThreads
File"twisted\internet\posixbase.pyo",line265,ininstallWaker
File"twisted\internet\posixbase.pyo",line77,in__init__
File"",line1,inlisten
socket.error:(10013,"Permissiondenied")