VBS.Rol.a.11804

王朝vb·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

仇恨脚本

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

网页病毒

病毒长度:

11804

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个脚本病毒,它可通过邮件传播。该病毒运行后会感染htm、htm、asp文件、删除磁盘中几乎全部的文件,并强行关闭系统。在关闭系统前,它还会弹出一个含有种族敌视内容的对话框。

1.病毒运行后会遍历系统所有文件,判定其扩展名是否为htm,html,asp,如是的话则在其尾部插入

2.修改ie起始页

修改注册表项:

HKCU\\software\\microsoft\\internetExplorer\\main\\startPage",使其值为"http://www.o**t.edu/g***ps/msa/everwonder.swf

3.病毒为了保护自身运行,会删除系统分区内安全软件安装目录的所有文件

ProgramFiles\ZoneLabs

ProgramFiles\AntiViralToolkitPro\\*.*

ProgramFiles\CommandSoftware\\F-PROT95\\*.*

eSafe\Protect\*.*

PC-Cillin95\*.*

PC-Cillin97\*.*

ProgramFiles\QuickHeal\\*.*

ProgramFiles\FWIN32\\*.*

ProgramFiles\FindVirus\\*.*

Toolkit\FindVirus\\*.*

f-macro\*.*

ProgramFiles\McAfee\VirusScan95\\*.*

ProgramFiles\NortonAntiVirus\*.*

TBAVW95\*.*

VS95\*.*

rescue\*.*

ProgramFiles\ZoneLabs

4,病毒检测到扩展名为lnk,zip,jpg,jpeg,mpg,mpeg,doc,xls,mdb,txt,ppt,pps,ram,rm,mp3,mdb,swf的文件后,会将自身复制成"原文件名"+.vbs,然后删除lnk,zip,,,文件

5.病毒会覆盖系统内ini文件内容为:"on1:JOIN:#:/msg$chanSeeThisSitehttp://g*****ies.com/jobreee/main.htm$nick!"

6.病毒初始运行时会在注册表的HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ZaCker写入一个分钟值

然后运行时一旦检测到写入值与30的和等于当前分钟并且当前秒为5秒时,会删除System32目录下的所有文件,导致系统无法正常运行

删除文件完毕,它会弹出一个对话框,然后关闭系统,对话框具体内容如下:

Americawillneversurvivetillitdismissesjewsfromitsland

jewsbringdisasterstoanyplltheylivewith

idunnowhytheyarestillalive!!!

letskillthemonebyone

7,病毒会自动发送邮件,内容如下:

Subject:Veryimportant!!!

Body:Seethispage

http://g****ties.com/Jobreee/main.htm

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航