病毒名称(中文):
感染蠕虫下载器995328
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
995328
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个蠕虫病毒。该病毒会遍历磁盘,感染全部的正常文件,并试图关闭安全软件。接着,它连接病毒作者指定的服务器,下载其它的病毒到用户电脑中运行。
1.判定自己是否是在系统盘下的MSDOS.bat,假如是的话会将系统盘目录打开,创建目录%windows%\Tasks,
删除Task目录下的0x01xx8p.exe文件,将自身复制为%windows%\Tasks\0x01xx8p.exe文件;
2.延时5秒,创建一个线程,每隔4秒就设置一下系统时间为2004年1月1日;
3.拷贝自身到%SystemRoot%\spoolsv.exe,%Windows%\Tasks\spoolsv.ext%Windows%\Tasks\SysFile.brk,
并删除自身文件;
4.将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,
感染成功后替换原文件;
5.遍历进程判定是否存在如下进程,avp.exe,kvsrvxp.exe,kissvc.exe,假如存在的话则强制结束,
病毒只是简单调用API来结束进程,一般来说是结束不了的;
6.创建多个线程,行为分别如下:
删除表项SOFTWARE\Data\Config,设置HKLM\SOFTWARE\Data\Config值为"http://2**p.cn/config.txt",
往系统目录下拷贝病毒体,遍历文件感染.
7.从http://2**p.cn/config.txt下载config文件,根据文件约定好的行为做不同的操作,可能会下载更多的
木马到本机.
