病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
225604
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个用autoit脚本编写的蠕虫病毒。病毒运行后先复制自身至系统文件夹,然后生成病毒文件,修改注册表以自启动。病毒会自动生成计划任务
程序,以达到天天准时启动病毒。病毒尝试复制自身至每个共享的磁盘,并以磁盘下的目录命名,另外,该病毒的图标是一文件夹,很轻易使人不小心点击中毒。
病毒还会尝试从远程服务器下载以下病毒样本并安装
1.病毒运行后复制自身至
%sys32dir%\scvhost.exe
%sys32dir%\blastclnnn.exe
%windir%\scvhost.exe
%windir%\hinhem.scr
并生成
%sys32dir%\autorun.ini
%windir%\security\tmp.edb
%windir%\Tasks\At1.job
%windir%\Tasks\At2.job
2.生成注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Sharesshared"\NewFolder.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\SystemDisableTaskMgrdword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\SystemDisableRegistryToolsdword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ExplorerNofolderOptionsdword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ScheduleAtTaskMaxHoursdword:00000000
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunYahooMessengger"%sys32dir%\scvhost.exe"
3.自动生成计划任务,自动运行以下文件,并修改注册表设置属性为天天9:00自动运行,注释为:"由NetScheduleJobAdd创建。"
%sys32dir%\blastclnnn.exe
4.病毒常驻一进程名为scvhost.exe进程,和系统svchost.exe进程相似,有一定的伪装性
5.病毒尝试传播自身,会复制自身至每个共享的磁盘,并以磁盘下的目录命名,如
磁盘名:\目录名.exe
6.尝试从远程服务器下载以下病毒样本并安装
hxxp://setting3.9999mb.com/setting.doc
hxxp://setting3.9999mb.com/setting.xls
hxxp://www.freewebs.com/setting3/setting.doc
hxxp://freewebs.com/nhattruongquang/setting.xls