Worm.AutoRun.dj.995328

王朝other·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

感染蠕虫下载器995328

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

995328

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个蠕虫病毒。该病毒会遍历磁盘,感染全部的正常文件,并试图关闭安全软件。接着,它连接病毒作者指定的服务器,下载其它的病毒到用户电脑中运行。

1.判定自己是否是在系统盘下的MSDOS.bat,假如是的话会将系统盘目录打开,创建目录%windows%\Tasks,

删除Task目录下的0x01xx8p.exe文件,将自身复制为%windows%\Tasks\0x01xx8p.exe文件;

2.延时5秒,创建一个线程,每隔4秒就设置一下系统时间为2004年1月1日;

3.拷贝自身到%SystemRoot%\spoolsv.exe,%Windows%\Tasks\spoolsv.ext%Windows%\Tasks\SysFile.brk,

并删除自身文件;

4.将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,

感染成功后替换原文件;

5.遍历进程判定是否存在如下进程,avp.exe,kvsrvxp.exe,kissvc.exe,假如存在的话则强制结束,

病毒只是简单调用API来结束进程,一般来说是结束不了的;

6.创建多个线程,行为分别如下:

删除表项SOFTWARE\Data\Config,设置HKLM\SOFTWARE\Data\Config值为"http://2**p.cn/config.txt",

往系统目录下拷贝病毒体,遍历文件感染.

7.从http://2**p.cn/config.txt下载config文件,根据文件约定好的行为做不同的操作,可能会下载更多的

木马到本机.

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航