病毒名称(中文):
泽尼特变种131584
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
131584
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个通过Email传播的蠕虫病毒,病毒运行后衍生病毒文件,修改注册表,添加启动项,以达到随机启动的目的,该病毒会搜索计算机中的E-mail地址,自动发送邮件,并在邮件附件中添加病毒为附件。
1.病毒运行后释放以下文件:
x:\windows\kavir.exe
X:\windows\nivavir.config
其中kavir.exe是病毒自身副本,nivavir.config实际上是配置ini文件,包含连接端口号,邮件主题,发件人等信息,这些信息需要程序解密。
2.运行以下命令:
"netshfirewallsetallowedprogram"C:\WINDOWS\kavir.exe"enable"(防火墙答应程序连接网络)
"w32tm/config/syncfromflags:manual/manualpeerlist:time.windows.com,time.nist.gov"
(与指定服务器同步系统时间);
"w32tm/config/update"(通知时间服务配置被更改,使更改生效)
3.在注册表中设置自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"kavir"=X\windows\kavir.exe;
4.病毒开启本机端口16595,发送用户名密码昵称等交互信息连接黑客制定地址,在这个端口上监听黑客的指令。
5.病毒搜索计算机中的EMAIL地址,自动向这些地址发送邮件,附件为病毒自身。为了欺骗用户,邮件服务器伪装为yahoo.com,gmail.com等,邮件的主题和发件人等信息从nivavir.config中选取。