| 进程文件 |
启动.scr |
| 进程名称 |
Worm.Wukill.e |
| 英文描述 |
N/A |
| 进程分析 |
一、 病毒首次运行时,什么反应也没有,悄悄将自己复制到系统的字体路径(比如C:\WINNT\FONTS\)。名称是四位随机数字和字母,扩展名为"com"。 病毒之所以采用这个路经,是因为在文件管理器中,只会显示这个路径里的字体文件,其他类型的文件不会被显示。
病毒在注册表的启动项添加“TempCom”。系统下次启动,会运行病毒程序 。
二、 病毒修改注册表的系统设置,隐藏已知的类型的文件后缀名称、不显示具有隐藏属性的文件,把自己伪装成一个文件夹。
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\HideFileExt = 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Hidden = 0x0
三、 病毒会把自身复制到多个文件夹下面
1.%WINDOWS%\All Users\Start Menu\Programs\启动\启动.scr (Win98系统)
C:\Documents and Settings\All Users\[开始]菜单\程序\启动\启动.scr (win2000和winxp系统)
2. A:\Explorer.EXE
A:\WINDOWS.EXE
3. 枚举磁盘目录,在每个根目录下释放下列文件:
WINDOWS.EXE 病毒主体程序
coment.htt 利用IE漏洞调用同一个目录下的"WINDOWS.EXE",属性为隐藏。
desktop.ini 系统为隐藏。采用web方式浏览文件夹时,系统会调用该文件,该文件调用coment.htt ,从而激活病毒。
4.在根目录下释放NetHood.htm。
用户看不到coment.htt和desktop.ini,WINDOWS.EXE被隐藏后缀名,又是文件夹图标,用户极容易认为是文件夹而点击。
四、病毒使用“cmd /c net view >D:\net.txt ”命令查找网络上的计算机,试图感染更多用户电脑。病毒名称采用上级目录,或者是当前窗口的标题,增加欺骗性。
五、病毒也使用regedit.exe,而且隐藏在系统目录。
六、病毒调用Outlook发送携带病毒的信件。 发信人邮箱为“Mywoman@163.com”搜索Microsoft Outlook地址薄里的所有邮件地址,将自己以邮件附件的形式发出去,试图感染更多用户电脑。
该病毒文件属性包含:gy,Xgtray。 |
| 进程位置 |
「开始」菜单 |
| 程序用途 |
感染更多的机器,发送带毒邮件。 |
| 作者 |
unknown |
| 属于 |
unknown |
| 安全等级 (0-5) |
4 (N/A无危险 5最危险) |
| 间碟软件 |
是 |
| 广告软件 |
是 |
| 病毒 |
是 |
| 木马 |
是 |
| 系统进程 |
否 |
| 应用程序 |
否 |
| 后台程序 |
否 |
| 使用访问 |
否 |
| 访问互联网 |
否 |
|
闽公网安备 35011102350673号