| 導購 | 订阅 | 在线投稿
分享
 
 
 

Worm.AutoRun.dj.995328

2008-08-14 23:08:17  編輯來源:互聯網  简体版  手機版  評論  字體: ||
 
  病毒名稱(中文):

  感染蠕蟲下載器995328

  病毒別名:

  

  

  威脅級別:

  ★★☆☆☆

  病毒類型:

  蠕蟲病毒

  病毒長度:

  995328

  影響系統:

  Win9xWinMeWinNTWin2000WinXPWin2003

  

  病毒行爲:

  這是一個蠕蟲病毒。該病毒會遍曆磁盤,感染全部的正常文件,並試圖關閉安全軟件。接著,它連接病毒作者指定的服務器,下載其它的病毒到用戶電腦中運行。

  1.判定自己是否是在系統盤下的MSDOS.bat,假如是的話會將系統盤目錄打開,創建目錄%windows%\Tasks,

  刪除Task目錄下的0x01xx8p.exe文件,將自身複制爲%windows%\Tasks\0x01xx8p.exe文件;

  2.延時5秒,創建一個線程,每隔4秒就設置一下系統時間爲2004年1月1日;

  3.拷貝自身到%SystemRoot%\spoolsv.exe,%Windows%\Tasks\spoolsv.ext%Windows%\Tasks\SysFile.brk,

  並刪除自身文件;

  4.將要感染的病毒代碼賦值到緩存,將被感染文件的最後一個節改名爲.WYCao,注入被感染代碼和自身病毒體,

  感染成功後替換原文件;

  5.遍曆進程判定是否存在如下進程,avp.exe,kvsrvxp.exe,kissvc.exe,假如存在的話則強制結束,

  病毒只是簡單調用API來結束進程,一般來說是結束不了的;

  6.創建多個線程,行爲分別如下:

  刪除表項SOFTWARE\Data\Config,設置HKLM\SOFTWARE\Data\Config值爲"http://2**p.cn/config.txt",

  往系統目錄下拷貝病毒體,遍曆文件感染.

  7.從http://2**p.cn/config.txt下載config文件,根據文件約定好的行爲做不同的操作,可能會下載更多的

  木馬到本機.
 
病毒名稱(中文): 感染蠕蟲下載器995328 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 蠕蟲病毒 病毒長度: 995328 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個蠕蟲病毒。該病毒會遍曆磁盤,感染全部的正常文件,並試圖關閉安全軟件。接著,它連接病毒作者指定的服務器,下載其它的病毒到用戶電腦中運行。 1.判定自己是否是在系統盤下的MSDOS.bat,假如是的話會將系統盤目錄打開,創建目錄%windows%\Tasks, 刪除Task目錄下的0x01xx8p.exe文件,將自身複制爲%windows%\Tasks\0x01xx8p.exe文件; 2.延時5秒,創建一個線程,每隔4秒就設置一下系統時間爲2004年1月1日; 3.拷貝自身到%SystemRoot%\spoolsv.exe,%Windows%\Tasks\spoolsv.ext%Windows%\Tasks\SysFile.brk, 並刪除自身文件; 4.將要感染的病毒代碼賦值到緩存,將被感染文件的最後一個節改名爲.WYCao,注入被感染代碼和自身病毒體, 感染成功後替換原文件; 5.遍曆進程判定是否存在如下進程,avp.exe,kvsrvxp.exe,kissvc.exe,假如存在的話則強制結束, 病毒只是簡單調用API來結束進程,一般來說是結束不了的; 6.創建多個線程,行爲分別如下: 刪除表項SOFTWARE\Data\Config,設置HKLM\SOFTWARE\Data\Config值爲"http://2**p.cn/config.txt", 往系統目錄下拷貝病毒體,遍曆文件感染. 7.從http://2**p.cn/config.txt下載config文件,根據文件約定好的行爲做不同的操作,可能會下載更多的 木馬到本機.
󰈣󰈤
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
  免責聲明:本文僅代表作者個人觀點,與王朝網絡無關。王朝網絡登載此文出於傳遞更多信息之目的,並不意味著贊同其觀點或證實其描述,其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,並請自行核實相關內容。
 
© 2005- 王朝網路 版權所有