I-Worm.Atak.a
2017-11-30 来源:
病毒名称:
I-Worm.Atak.a
类别:蠕虫
病毒资料:
破坏方法:该病毒采用VC++6.0编译,FSG加壳是一个通过邮件传播的蠕虫
病毒流程如下:
1.病毒首先建立一个互斥量:“SloperMtx” 保证只运行病毒的一个实例
2.病毒检测系统时间是否与文件时间的2004年7月是否一致,如果小于这个时间病毒将不进行感染流
程
直接退出
3.病毒会检测本身是否正在被调试,如果是则病毒退出<这不包括病毒原来壳中的反调试伎俩,指的
是脱壳后的病毒原体>
4.病毒将自己复制到系统目录:
%SYSDIR%\hint.exe
5.病毒修改系统文件:win.ini 来使自己能随系统自启动
6.病毒将搜索要感染的邮件地址:
<1>病毒将从WINDOWS ADDRESS BOOK <地址薄>文件中直接读出联系人的邮件地址
<2>病毒将从互联网的暂存文件中搜索邮件地址
<3>病毒将在系统目录中搜索下列扩展名的文件中的邮件地址:
'adb'
'tbb'
'Html
'XML'
'cfg'
'vbs'
'msg'
'dbx'
'uin'
'jsp'
'ASP'
'cgi'
'PHP'
'sht'
'mht'
'ods'
'log'
'htm'
'mbx'
'nch'
'eml'
'txt'
7.病毒创建一个传播线程来进行邮件传播
邮件的特征如下:
From: ******@yahoo.com,<其中******为下列之一>:
"hUCk"
"george"
"mike"
"andrew"
"jose"
to: 病毒搜索到的邮件地址
subject:<下列之一>:
Read the Result!
Important Data!
附件:附件就是病毒
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-7-15
病毒流程如下:
1.病毒首先建立一个互斥量:“SloperMtx” 保证只运行病毒的一个实例
2.病毒检测系统时间是否与文件时间的2004年7月是否一致,如果小于这个时间病毒将不进行感染流
程
直接退出
3.病毒会检测本身是否正在被调试,如果是则病毒退出<这不包括病毒原来壳中的反调试伎俩,指的
是脱壳后的病毒原体>
4.病毒将自己复制到系统目录:
%SYSDIR%\hint.exe
5.病毒修改系统文件:win.ini 来使自己能随系统自启动
6.病毒将搜索要感染的邮件地址:
<1>病毒将从WINDOWS ADDRESS BOOK <地址薄>文件中直接读出联系人的邮件地址
<2>病毒将从互联网的暂存文件中搜索邮件地址
<3>病毒将在系统目录中搜索下列扩展名的文件中的邮件地址:
'adb'
'tbb'
'Html
'XML'
'cfg'
'vbs'
'msg'
'dbx'
'uin'
'jsp'
'ASP'
'cgi'
'PHP'
'sht'
'mht'
'ods'
'log'
'htm'
'mbx'
'nch'
'eml'
'txt'
7.病毒创建一个传播线程来进行邮件传播
邮件的特征如下:
From: ******@yahoo.com,<其中******为下列之一>:
"hUCk"
"george"
"mike"
"andrew"
"jose"
to: 病毒搜索到的邮件地址
subject:<下列之一>:
Read the Result!
Important Data!
附件:附件就是病毒
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-7-15
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
上一篇:Macro.Word97.Ex
最新资讯
热门推荐