VBS.Rol.a.11804

2008-08-14 23:00:57  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

 

　　病毒名称(中文):

　　仇恨脚本

　　病毒别名:

　　

　　

　　威胁级别:

　　★★☆☆☆

　　病毒类型:

　　网页病毒

　　病毒长度:

　　11804

　　影响系统:

　　Win9xWinMeWinNTWin2000WinXPWin2003

　　

　　病毒行为:

　　这是一个脚本病毒，它可通过邮件传播。该病毒运行后会感染htm、htm、asp文件、删除磁盘中几乎全部的文件，并强行关闭系统。在关闭系统前，它还会弹出一个含有种族敌视内容的对话框。

　　1.病毒运行后会遍历系统所有文件,判定其扩展名是否为htm,html,asp,如是的话则在其尾部插入

　　2.修改ie起始页

　　修改注册表项:

　　HKCU\\software\\microsoft\\internetExplorer\\main\\startPage",使其值为"http://www.o**t.edu/g***ps/msa/everwonder.swf

　　3.病毒为了保护自身运行,会删除系统分区内安全软件安装目录的所有文件

　　ProgramFiles\ZoneLabs

　　ProgramFiles\AntiViralToolkitPro\\*.*

　　ProgramFiles\CommandSoftware\\F-PROT95\\*.*

　　eSafe\Protect\*.*

　　PC-Cillin95\*.*

　　PC-Cillin97\*.*

　　ProgramFiles\QuickHeal\\*.*

　　ProgramFiles\FWIN32\\*.*

　　ProgramFiles\FindVirus\\*.*

　　Toolkit\FindVirus\\*.*

　　f-macro\*.*

　　ProgramFiles\McAfee\VirusScan95\\*.*

　　ProgramFiles\NortonAntiVirus\*.*

　　TBAVW95\*.*

　　VS95\*.*

　　rescue\*.*

　　ProgramFiles\ZoneLabs

　　4,病毒检测到扩展名为lnk,zip,jpg,jpeg,mpg,mpeg,doc,xls,mdb,txt,ppt,pps,ram,rm,mp3,mdb,swf的文件后,会将自身复制成"原文件名"+.vbs,然后删除lnk,zip,,,文件

　　5.病毒会覆盖系统内ini文件内容为:"on1:JOIN:#:/msg$chanSeeThisSitehttp://g*****ies.com/jobreee/main.htm$nick!"

　　6.病毒初始运行时会在注册表的HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ZaCker写入一个分钟值

　　然后运行时一旦检测到写入值与30的和等于当前分钟并且当前秒为5秒时,会删除System32目录下的所有文件,导致系统无法正常运行

　　删除文件完毕,它会弹出一个对话框,然后关闭系统,对话框具体内容如下:

　　Americawillneversurvivetillitdismissesjewsfromitsland

　　jewsbringdisasterstoanyplltheylivewith

　　idunnowhytheyarestillalive!!!

　　letskillthemonebyone

　　7,病毒会自动发送邮件,内容如下:

　　Subject:Veryimportant!!!

　　Body:Seethispage

　　http://g****ties.com/Jobreee/main.htm

 

 

 

病毒名称(中文): 仇恨脚本 病毒别名: 威胁级别: ★★☆☆☆ 病毒类型: 网页病毒 病毒长度: 11804 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个脚本病毒，它可通过邮件传播。该病毒运行后会感染htm、htm、asp文件、删除磁盘中几乎全部的文件，并强行关闭系统。在关闭系统前，它还会弹出一个含有种族敌视内容的对话框。 1.病毒运行后会遍历系统所有文件,判定其扩展名是否为htm,html,asp,如是的话则在其尾部插入 2.修改ie起始页 修改注册表项: HKCU\\software\\microsoft\\internetExplorer\\main\\startPage",使其值为"http://www.o**t.edu/g***ps/msa/everwonder.swf 3.病毒为了保护自身运行,会删除系统分区内安全软件安装目录的所有文件 ProgramFiles\ZoneLabs ProgramFiles\AntiViralToolkitPro\\*.* ProgramFiles\CommandSoftware\\F-PROT95\\*.* eSafe\Protect\*.* PC-Cillin95\*.* PC-Cillin97\*.* ProgramFiles\QuickHeal\\*.* ProgramFiles\FWIN32\\*.* ProgramFiles\FindVirus\\*.* Toolkit\FindVirus\\*.* f-macro\*.* ProgramFiles\McAfee\VirusScan95\\*.* ProgramFiles\NortonAntiVirus\*.* TBAVW95\*.* VS95\*.* rescue\*.* ProgramFiles\ZoneLabs 4,病毒检测到扩展名为lnk,zip,jpg,jpeg,mpg,mpeg,doc,xls,mdb,txt,ppt,pps,ram,rm,mp3,mdb,swf的文件后,会将自身复制成"原文件名"+.vbs,然后删除lnk,zip,,,文件 5.病毒会覆盖系统内ini文件内容为:"on1:JOIN:#:/msg$chanSeeThisSitehttp://g*****ies.com/jobreee/main.htm$nick!" 6.病毒初始运行时会在注册表的HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ZaCker写入一个分钟值 然后运行时一旦检测到写入值与30的和等于当前分钟并且当前秒为5秒时,会删除System32目录下的所有文件,导致系统无法正常运行 删除文件完毕,它会弹出一个对话框,然后关闭系统,对话框具体内容如下: Americawillneversurvivetillitdismissesjewsfromitsland jewsbringdisasterstoanyplltheylivewith idunnowhytheyarestillalive!!! letskillthemonebyone 7,病毒会自动发送邮件,内容如下: Subject:Veryimportant!!! Body:Seethispage http://g****ties.com/Jobreee/main.htm