订阅病毒名稱(中文):
文件夾郵遞員
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
蠕蟲病毒
病毒長度:
208896
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個蠕蟲病毒程序。病毒采用文件夾圖標,讓用戶誤以爲是它文件夾而點擊。當被激活後,它會搜索系統中的Outlook工具,調用它來向用戶的全部聯系人發送攜帶病毒的信件。
1.程序運行後,生成文件
C:\DocumentsandSettings\AllUsers\[開始]菜單\程序\啓動\啓動.scr
枚舉磁盤目錄,在每個根目錄下釋放下列文件:
WINDOWS.EXE病毒主體程序
coment.htt利用IE漏洞調用同一個目錄下的"WINDOWS.EXE",屬性爲隱藏。
desktop.ini系統爲隱藏。采用web方式浏覽文件夾時,系統會調用該文件,該文件調用coment.htt,從而激活病毒。
2.病毒修改注冊表的系統設置,隱藏已知的類型的文件後綴名稱、不顯示具有隱藏屬性的文件,把自己僞裝成一個文件夾。
HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced\HideFileExt=0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden=0x0
3.病毒會生成文件C:\_uninsep.bat,不斷刪除自身。
4.病毒首次運行時,將自己複制到系統的字體路徑(比如C:\WINNT\FONTS\)。名稱是四位隨機數字和字母,擴展名爲"com"。
病毒在注冊表的啓動項添加「TempCom」。系統下次啓動,會運行病毒程序。
5.在根目錄下釋放NetHood.htm,用戶看不到coment.htt和desktop.ini,WINDOWS.EXE被隱藏後綴名,又是文件夾圖標,
用戶極輕易認爲是文件夾而點擊。
6.病毒使用「cmd/cnetview>D:\net.txt」命令查找網絡上的計算機,試圖感染更多用戶電腦。病毒名稱采用上級目錄,
或者是當前窗口的標題,增加欺騙性。
7.病毒調用Outlook發送攜帶病毒的信件。發信人郵箱爲「Mywoman@163.com」搜索MicrosoftOutlook地址薄裏的所有郵件地址,
將自己以郵件附件的形式發出去,試圖感染更多用戶電腦。
