病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
13056
影响系统:
WinNTWin2000WinXP
病毒行为:
病毒会判定自身运行时的路径是否在system32文件夹下.假如病毒运行时的路径是在盘根目录下的话,则弹出所在盘的窗口.
假如病毒运行时路径不在system32文件夹下,则检测当前系统进程中wscript.exe进程的数量.
病毒会读取配置文件(`.url)的数据,如读取出来的数据与病毒设置的常量的值不同,则重写病毒配置文件
病毒把自身复制至以下路径:
%windir%\`.vbe
%windir%\system32\`.vbe
病毒会添加启动项,当用户在启动系统时病毒随之启发.
该病毒会通过修改注册表的隐藏键值对系统具有隐藏属性的文件进行隐藏.
读取%windir%\system32\wbem\下的`.vbe文件与指定的版本号比较和读取配置文件里的某行数据与1进行比较,
假如不相同,则重写%windir%\system32\wbem\`.vbe文件.(该文件并非病毒复本,但内容与病毒复本差不多)
遍历网络硬盘和可移动硬盘(除a:\和b:\),删除盘根目录下的autorun.inf文件夹,复制病毒配置文件至盘根目录下autorun.inf,
病毒复本至盘根目录下`.vbs.假如盘根目录下存在`.vbs和autorun.inf,则会读取数据进行判定是否属该病毒的文件,不同则重写.
病毒会判定系统是否属于网吧机器(检测万象的进程),不是则执行升级文件某行的数据.