Win32.Troj.Agent.208896

2008-08-14 23:08:40  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

　　病毒名稱(中文):
　　文件夾郵遞員
　　病毒別名:
　　
　　
　　威脅級別:
　　★☆☆☆☆
　　病毒類型:
　　蠕蟲病毒
　　病毒長度:
　　208896
　　影響系統:
　　Win9xWinMeWinNTWin2000WinXPWin2003
　　
　　病毒行爲:
　　這是一個蠕蟲病毒程序。病毒采用文件夾圖標，讓用戶誤以爲是它文件夾而點擊。當被激活後，它會搜索系統中的Outlook工具，調用它來向用戶的全部聯系人發送攜帶病毒的信件。
　　1.程序運行後，生成文件
　　C:\DocumentsandSettings\AllUsers\[開始]菜單\程序\啓動\啓動.scr
　　枚舉磁盤目錄，在每個根目錄下釋放下列文件：
　　WINDOWS.EXE病毒主體程序
　　coment.htt利用IE漏洞調用同一個目錄下的"WINDOWS.EXE"，屬性爲隱藏。
　　desktop.ini系統爲隱藏。采用web方式浏覽文件夾時，系統會調用該文件，該文件調用coment.htt，從而激活病毒。
　　2.病毒修改注冊表的系統設置，隱藏已知的類型的文件後綴名稱、不顯示具有隱藏屬性的文件，把自己僞裝成一個文件夾。
　　HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced\HideFileExt=0x1
　　HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden=0x0
　　3.病毒會生成文件C:\_uninsep.bat，不斷刪除自身。
　　4.病毒首次運行時，將自己複制到系統的字體路徑（比如C:\WINNT\FONTS\）。名稱是四位隨機數字和字母,擴展名爲"com"。
　　病毒在注冊表的啓動項添加「TempCom」。系統下次啓動，會運行病毒程序。
　　5.在根目錄下釋放NetHood.htm,用戶看不到coment.htt和desktop.ini，WINDOWS.EXE被隱藏後綴名，又是文件夾圖標，
　　用戶極輕易認爲是文件夾而點擊。
　　6.病毒使用「cmd/cnetview>D:\net.txt」命令查找網絡上的計算機，試圖感染更多用戶電腦。病毒名稱采用上級目錄，
　　或者是當前窗口的標題，增加欺騙性。
　　7.病毒調用Outlook發送攜帶病毒的信件。發信人郵箱爲「Mywoman@163.com」搜索MicrosoftOutlook地址薄裏的所有郵件地址，
　　將自己以郵件附件的形式發出去，試圖感染更多用戶電腦。

 

病毒名稱(中文): 文件夾郵遞員 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 蠕蟲病毒 病毒長度: 208896 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個蠕蟲病毒程序。病毒采用文件夾圖標，讓用戶誤以爲是它文件夾而點擊。當被激活後，它會搜索系統中的Outlook工具，調用它來向用戶的全部聯系人發送攜帶病毒的信件。 1.程序運行後，生成文件 C:\DocumentsandSettings\AllUsers\[開始]菜單\程序\啓動\啓動.scr 枚舉磁盤目錄，在每個根目錄下釋放下列文件： WINDOWS.EXE病毒主體程序 coment.htt利用IE漏洞調用同一個目錄下的"WINDOWS.EXE"，屬性爲隱藏。 desktop.ini系統爲隱藏。采用web方式浏覽文件夾時，系統會調用該文件，該文件調用coment.htt，從而激活病毒。 2.病毒修改注冊表的系統設置，隱藏已知的類型的文件後綴名稱、不顯示具有隱藏屬性的文件，把自己僞裝成一個文件夾。 HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced\HideFileExt=0x1 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden=0x0 3.病毒會生成文件C:\_uninsep.bat，不斷刪除自身。 　4.病毒首次運行時，將自己複制到系統的字體路徑（比如C:\WINNT\FONTS\）。名稱是四位隨機數字和字母,擴展名爲"com"。 病毒在注冊表的啓動項添加「TempCom」。系統下次啓動，會運行病毒程序。 5.在根目錄下釋放NetHood.htm,用戶看不到coment.htt和desktop.ini，WINDOWS.EXE被隱藏後綴名，又是文件夾圖標， 用戶極輕易認爲是文件夾而點擊。 6.病毒使用「cmd/cnetview>D:\net.txt」命令查找網絡上的計算機，試圖感染更多用戶電腦。病毒名稱采用上級目錄， 或者是當前窗口的標題，增加欺騙性。 7.病毒調用Outlook發送攜帶病毒的信件。發信人郵箱爲「Mywoman@163.com」搜索MicrosoftOutlook地址薄裏的所有郵件地址， 將自己以郵件附件的形式發出去，試圖感染更多用戶電腦。