病毒名称(中文):
仇恨脚本
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
网页病毒
病毒长度:
11804
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个脚本病毒,它可通过邮件传播。该病毒运行后会感染htm、htm、asp文件、删除磁盘中几乎全部的文件,并强行关闭系统。在关闭系统前,它还会弹出一个含有种族敌视内容的对话框。
1.病毒运行后会遍历系统所有文件,判定其扩展名是否为htm,html,asp,如是的话则在其尾部插入
2.修改ie起始页
修改注册表项:
HKCU\\software\\microsoft\\internetExplorer\\main\\startPage",使其值为"http://www.o**t.edu/g***ps/msa/everwonder.swf
3.病毒为了保护自身运行,会删除系统分区内安全软件安装目录的所有文件
ProgramFiles\ZoneLabs
ProgramFiles\AntiViralToolkitPro\\*.*
ProgramFiles\CommandSoftware\\F-PROT95\\*.*
eSafe\Protect\*.*
PC-Cillin95\*.*
PC-Cillin97\*.*
ProgramFiles\QuickHeal\\*.*
ProgramFiles\FWIN32\\*.*
ProgramFiles\FindVirus\\*.*
Toolkit\FindVirus\\*.*
f-macro\*.*
ProgramFiles\McAfee\VirusScan95\\*.*
ProgramFiles\NortonAntiVirus\*.*
TBAVW95\*.*
VS95\*.*
rescue\*.*
ProgramFiles\ZoneLabs
4,病毒检测到扩展名为lnk,zip,jpg,jpeg,mpg,mpeg,doc,xls,mdb,txt,ppt,pps,ram,rm,mp3,mdb,swf的文件后,会将自身复制成"原文件名"+.vbs,然后删除lnk,zip,,,文件
5.病毒会覆盖系统内ini文件内容为:"on1:JOIN:#:/msg$chanSeeThisSitehttp://g*****ies.com/jobreee/main.htm$nick!"
6.病毒初始运行时会在注册表的HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ZaCker写入一个分钟值
然后运行时一旦检测到写入值与30的和等于当前分钟并且当前秒为5秒时,会删除System32目录下的所有文件,导致系统无法正常运行
删除文件完毕,它会弹出一个对话框,然后关闭系统,对话框具体内容如下:
Americawillneversurvivetillitdismissesjewsfromitsland
jewsbringdisasterstoanyplltheylivewith
idunnowhytheyarestillalive!!!
letskillthemonebyone
7,病毒会自动发送邮件,内容如下:
Subject:Veryimportant!!!
Body:Seethispage
http://g****ties.com/Jobreee/main.htm