Worm.Bugbear.i

2008-02-23 09:20:21来源：互联网阅读 ()

病毒名称: Worm.Bugbear.i 类别：蠕虫病毒病毒资料：破坏方法：

病毒采用VC编写，UPX压缩。

病毒运行后有以下行为：

一、将自己复制到％SYSDIR％目录下，文件名为随机的字母组合，文件扩展名为".EXE"。

二、释放一个用于挂接键盘钩子的动态库文件到％SYSDIR％目录下，并挂接键盘钩子以窃取用户信息。

三、修改注册表以下键值，以达到其自启动的目的：

1.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
增加一个随机的数据项名称，该数据项的值为病毒文件的全路径名

四、查看当前系统是否有以下进程，如果有则将该进程结束：

"_AVP32.EXE"
"_AVPCC.EXE"
"_AVPM.EXE"
"ACKWIN32.EXE"
"ANTI-TROJAN.EXE"
"APVXDWIN.EXE"
"AUTODOWN.EXE"
"AVCONSOL.EXE"
"AVE32.EXE"
"AVGCTRL.EXE"
"AVKSERV.EXE"
"AVNT.EXE"
"AVP.EXE"
"AVP32.EXE"
"AVPCC.EXE"
"AVPDOS32.EXE"
"AVPM.EXE"
"AVPTC32.EXE"
"AVPUPD.EXE"
"AVSCHED32.EXE"
"AVWIN95.EXE"
"AVWUPD32.EXE"
"BLACKD.EXE"
"BLACKICE.EXE"
"CFIADMIN.EXE"
"CFIAUDIT.EXE"
"CFINET.EXE"
"CFINET32.EXE"
……

五、搜索当前计算机中文件名包含以下关键字的文件：

".ODS"、
"INBOX""、
".MMF"、
".NCH"、
".MBX"、
"EML"、
".TBB"、
".DBX"、
".ini"、

".rdp"、
".INI"

试图从中获取邮件地址。

六、发送携带病毒的邮件：

邮件标题有以下可能：

"!!! WARNING !!!"
"Hi!"
"Your News Alert"
"good news!"
"Your Gift"
"New bonus in your cash account"
"Tools For Your Online Business"
"Daily Email Reminder"
"News"
"free shipping!"
……

邮件附件文件名为："game.exe"
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2005-1-5

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有