病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
172032
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个蠕虫病毒。该病毒运行后,会立即从网络上下载大量的病毒。该病毒会关闭瑞星,金山,卡巴等杀毒软件。从远程服务器上下载邮件列表,发送带病毒的附件。发送大量的网络数据包阻塞网络。
病毒运行后
1、病毒运行后在任务治理器里能看到很多生疏的进程
2、释放文件
C:\WINDOWS\system32\fmifddem.dll
C:\WINDOWS\System32\fmifddem.exe
C:\WINDOWS\system32\ccfgmsti.dll
%WINDIR%\System32\fmifddem.dat
c:\windows\system32\e1.dll
c:\windows\ktme.wax邮件列表文件
3、下载文件
ktmcheck.exe
ktme.exe
还会下载大量的病毒文件,这里就不一一列举了
4、修改注册表
使fmifddem.dll随winlogon一起加载
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\fmifddem]
"DllName"="C:\WINDOWS\system32\fmifddem.dll"
"Startup"="WlxStartupEvent"
"Shutdown"="WlxShutdownEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000
5、关闭金山,瑞星,NOD32,卡巴,MacFee等一些知名的杀毒软件
6、使ccfgmsti.dll随windows启动注入所有进程
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows]
"AppInit_DLLs"="ccfgmsti.dll"
7、安装WH_CBT挂钩
监视用户操作
8、搜索用户机器上的email地址和yahoo.com邮件服务器上的邮件地址,
并向这些地址发送包含病毒文件的附件