| 導購 | 订阅 | 在线投稿
分享
 
 
 

Worm.AutoRun.dj.995328

2008-08-14 23:08:17  編輯來源:互聯網  简体版  手機版  評論  字體: ||
 
  病毒名称(中文):

  感染蠕虫下载器995328

  病毒别名:

  

  

  威胁级别:

  ★★☆☆☆

  病毒类型:

  蠕虫病毒

  病毒长度:

  995328

  影响系统:

  Win9xWinMeWinNTWin2000WinXPWin2003

  

  病毒行为:

  这是一个蠕虫病毒。该病毒会遍历磁盘,感染全部的正常文件,并试图关闭安全软件。接着,它连接病毒作者指定的服务器,下载其它的病毒到用户电脑中运行。

  1.判定自己是否是在系统盘下的MSDOS.bat,假如是的话会将系统盘目录打开,创建目录%windows%\Tasks,

  删除Task目录下的0x01xx8p.exe文件,将自身复制为%windows%\Tasks\0x01xx8p.exe文件;

  2.延时5秒,创建一个线程,每隔4秒就设置一下系统时间为2004年1月1日;

  3.拷贝自身到%SystemRoot%\spoolsv.exe,%Windows%\Tasks\spoolsv.ext%Windows%\Tasks\SysFile.brk,

  并删除自身文件;

  4.将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,

  感染成功后替换原文件;

  5.遍历进程判定是否存在如下进程,avp.exe,kvsrvxp.exe,kissvc.exe,假如存在的话则强制结束,

  病毒只是简单调用API来结束进程,一般来说是结束不了的;

  6.创建多个线程,行为分别如下:

  删除表项SOFTWARE\Data\Config,设置HKLM\SOFTWARE\Data\Config值为"http://2**p.cn/config.txt",

  往系统目录下拷贝病毒体,遍历文件感染.

  7.从http://2**p.cn/config.txt下载config文件,根据文件约定好的行为做不同的操作,可能会下载更多的

  木马到本机.
 
 
 
病毒名称(中文): 感染蠕虫下载器995328 病毒别名: 威胁级别: ★★☆☆☆ 病毒类型: 蠕虫病毒 病毒长度: 995328 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个蠕虫病毒。该病毒会遍历磁盘,感染全部的正常文件,并试图关闭安全软件。接着,它连接病毒作者指定的服务器,下载其它的病毒到用户电脑中运行。 1.判定自己是否是在系统盘下的MSDOS.bat,假如是的话会将系统盘目录打开,创建目录%windows%\Tasks, 删除Task目录下的0x01xx8p.exe文件,将自身复制为%windows%\Tasks\0x01xx8p.exe文件; 2.延时5秒,创建一个线程,每隔4秒就设置一下系统时间为2004年1月1日; 3.拷贝自身到%SystemRoot%\spoolsv.exe,%Windows%\Tasks\spoolsv.ext%Windows%\Tasks\SysFile.brk, 并删除自身文件; 4.将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体, 感染成功后替换原文件; 5.遍历进程判定是否存在如下进程,avp.exe,kvsrvxp.exe,kissvc.exe,假如存在的话则强制结束, 病毒只是简单调用API来结束进程,一般来说是结束不了的; 6.创建多个线程,行为分别如下: 删除表项SOFTWARE\Data\Config,设置HKLM\SOFTWARE\Data\Config值为"http://2**p.cn/config.txt", 往系统目录下拷贝病毒体,遍历文件感染. 7.从http://2**p.cn/config.txt下载config文件,根据文件约定好的行为做不同的操作,可能会下载更多的 木马到本机.
󰈣󰈤
 
 
 
>>返回首頁<<
 
 
 
 
 
 熱帖排行
 
 
王朝网络微信公众号
微信扫码关注本站公众号 wangchaonetcn
 
  免责声明:本文仅代表作者个人观点,与王朝网络无关。王朝网络登载此文出于传递更多信息之目的,并不意味著赞同其观点或证实其描述,其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
© 2005- 王朝網路 版權所有