Worm.AutoRun.dj.995328

2008-08-14 23:08:17  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

　　病毒名稱(中文):

　　感染蠕蟲下載器995328

　　病毒別名:

　　

　　

　　威脅級別:

　　★★☆☆☆

　　病毒類型:

　　蠕蟲病毒

　　病毒長度:

　　995328

　　影響系統:

　　Win9xWinMeWinNTWin2000WinXPWin2003

　　

　　病毒行爲:

　　這是一個蠕蟲病毒。該病毒會遍曆磁盤，感染全部的正常文件，並試圖關閉安全軟件。接著，它連接病毒作者指定的服務器，下載其它的病毒到用戶電腦中運行。

　　1.判定自己是否是在系統盤下的MSDOS.bat,假如是的話會將系統盤目錄打開,創建目錄%windows%\Tasks,

　　刪除Task目錄下的0x01xx8p.exe文件,將自身複制爲%windows%\Tasks\0x01xx8p.exe文件;

　　2.延時5秒,創建一個線程,每隔4秒就設置一下系統時間爲2004年1月1日;

　　3.拷貝自身到%SystemRoot%\spoolsv.exe,%Windows%\Tasks\spoolsv.ext%Windows%\Tasks\SysFile.brk,

　　並刪除自身文件;

　　4.將要感染的病毒代碼賦值到緩存,將被感染文件的最後一個節改名爲.WYCao,注入被感染代碼和自身病毒體,

　　感染成功後替換原文件;

　　5.遍曆進程判定是否存在如下進程,avp.exe,kvsrvxp.exe,kissvc.exe,假如存在的話則強制結束,

　　病毒只是簡單調用API來結束進程,一般來說是結束不了的;

　　6.創建多個線程,行爲分別如下:

　　刪除表項SOFTWARE\Data\Config,設置HKLM\SOFTWARE\Data\Config值爲"http://2**p.cn/config.txt",

　　往系統目錄下拷貝病毒體,遍曆文件感染.

　　7.從http://2**p.cn/config.txt下載config文件,根據文件約定好的行爲做不同的操作,可能會下載更多的

　　木馬到本機.

 

病毒名稱(中文): 感染蠕蟲下載器995328 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 蠕蟲病毒 病毒長度: 995328 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個蠕蟲病毒。該病毒會遍曆磁盤，感染全部的正常文件，並試圖關閉安全軟件。接著，它連接病毒作者指定的服務器，下載其它的病毒到用戶電腦中運行。 1.判定自己是否是在系統盤下的MSDOS.bat,假如是的話會將系統盤目錄打開,創建目錄%windows%\Tasks, 刪除Task目錄下的0x01xx8p.exe文件,將自身複制爲%windows%\Tasks\0x01xx8p.exe文件; 2.延時5秒,創建一個線程,每隔4秒就設置一下系統時間爲2004年1月1日; 3.拷貝自身到%SystemRoot%\spoolsv.exe,%Windows%\Tasks\spoolsv.ext%Windows%\Tasks\SysFile.brk, 並刪除自身文件; 4.將要感染的病毒代碼賦值到緩存,將被感染文件的最後一個節改名爲.WYCao,注入被感染代碼和自身病毒體, 感染成功後替換原文件; 5.遍曆進程判定是否存在如下進程,avp.exe,kvsrvxp.exe,kissvc.exe,假如存在的話則強制結束, 病毒只是簡單調用API來結束進程,一般來說是結束不了的; 6.創建多個線程,行爲分別如下: 刪除表項SOFTWARE\Data\Config,設置HKLM\SOFTWARE\Data\Config值爲"http://2**p.cn/config.txt", 往系統目錄下拷貝病毒體,遍曆文件感染. 7.從http://2**p.cn/config.txt下載config文件,根據文件約定好的行爲做不同的操作,可能會下載更多的 木馬到本機.