Worm.AutoRun.dj.995328

2008-08-14 23:08:17  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

　　病毒名称(中文):

　　感染蠕虫下载器995328

　　病毒别名:

　　

　　

　　威胁级别:

　　★★☆☆☆

　　病毒类型:

　　蠕虫病毒

　　病毒长度:

　　995328

　　影响系统:

　　Win9xWinMeWinNTWin2000WinXPWin2003

　　

　　病毒行为:

　　这是一个蠕虫病毒。该病毒会遍历磁盘，感染全部的正常文件，并试图关闭安全软件。接着，它连接病毒作者指定的服务器，下载其它的病毒到用户电脑中运行。

　　1.判定自己是否是在系统盘下的MSDOS.bat,假如是的话会将系统盘目录打开,创建目录%windows%\Tasks,

　　删除Task目录下的0x01xx8p.exe文件,将自身复制为%windows%\Tasks\0x01xx8p.exe文件;

　　2.延时5秒,创建一个线程,每隔4秒就设置一下系统时间为2004年1月1日;

　　3.拷贝自身到%SystemRoot%\spoolsv.exe,%Windows%\Tasks\spoolsv.ext%Windows%\Tasks\SysFile.brk,

　　并删除自身文件;

　　4.将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,

　　感染成功后替换原文件;

　　5.遍历进程判定是否存在如下进程,avp.exe,kvsrvxp.exe,kissvc.exe,假如存在的话则强制结束,

　　病毒只是简单调用API来结束进程,一般来说是结束不了的;

　　6.创建多个线程,行为分别如下:

　　删除表项SOFTWARE\Data\Config,设置HKLM\SOFTWARE\Data\Config值为"http://2**p.cn/config.txt",

　　往系统目录下拷贝病毒体,遍历文件感染.

　　7.从http://2**p.cn/config.txt下载config文件,根据文件约定好的行为做不同的操作,可能会下载更多的

　　木马到本机.

 

 

 

病毒名称(中文): 感染蠕虫下载器995328 病毒别名: 威胁级别: ★★☆☆☆ 病毒类型: 蠕虫病毒 病毒长度: 995328 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个蠕虫病毒。该病毒会遍历磁盘，感染全部的正常文件，并试图关闭安全软件。接着，它连接病毒作者指定的服务器，下载其它的病毒到用户电脑中运行。 1.判定自己是否是在系统盘下的MSDOS.bat,假如是的话会将系统盘目录打开,创建目录%windows%\Tasks, 删除Task目录下的0x01xx8p.exe文件,将自身复制为%windows%\Tasks\0x01xx8p.exe文件; 2.延时5秒,创建一个线程,每隔4秒就设置一下系统时间为2004年1月1日; 3.拷贝自身到%SystemRoot%\spoolsv.exe,%Windows%\Tasks\spoolsv.ext%Windows%\Tasks\SysFile.brk, 并删除自身文件; 4.将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体, 感染成功后替换原文件; 5.遍历进程判定是否存在如下进程,avp.exe,kvsrvxp.exe,kissvc.exe,假如存在的话则强制结束, 病毒只是简单调用API来结束进程,一般来说是结束不了的; 6.创建多个线程,行为分别如下: 删除表项SOFTWARE\Data\Config,设置HKLM\SOFTWARE\Data\Config值为"http://2**p.cn/config.txt", 往系统目录下拷贝病毒体,遍历文件感染. 7.从http://2**p.cn/config.txt下载config文件,根据文件约定好的行为做不同的操作,可能会下载更多的 木马到本机.