病毒名称(中文):
尼姆达变种18848
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
18848
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个感染型的蠕虫病毒。它会感染所有的.exe、.scr、.htm、.html格式文件,假如用户将含毒文件用邮件发送出去,病毒无需收信人主动打开即可自动执行。另外,此毒还会感染局域网中的其它正常电脑。
1.通过k32.dll基址获得导出API。
2.拷贝自身到C:\windows\system32\runouce.exe
3.写入注册表自启动HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:Runonce
键值:"C:\WINDOWS\system32\runouce.exe"
4.查找最顶层的窗口句柄,对这个窗口进行注入,注入代码守护runouce.exe进程,发现没有就启动这个进程。
5.开启一个线程,这个线程守护注册表run键,一旦变化就更改回来。
6.扫描本地驱动器,跳过C:\windows目录。感染后缀名为exe文件和scr文件还有和htm和html文件。
对exe文件和scr文件直接写在原文件的尾部,假如没有空隙就自己添加空间,更改入口。
7.感染html文件,写入一个readme.eml的文件,
在html文件尾添加一段
window.open
("readme.eml",null,"resizable=no,top=6000,left=6000")
这是利用一个可以影响运行MicrosoftInternetExplorer5.01和5.5的漏洞。
此漏洞使得邮件附件无需用户主动打开即可自动执行。携带的病毒附件被标记为audio/x-wav类型。因此默认的音频文件播放器将被用于尝试打开该附件,附件保存在readme.eml文件中。
8.枚举网络资源,通过局域网的共享资源来传播自身。
9.执行netsend*mygod!someonekilledchinesehacker-2monitor进行局域网广播。