I-Worm.Pilif

2008-02-23 09:24:40来源：互联网阅读 ()

病毒名称: I-Worm.Pilif 类别：蠕虫病毒资料：破坏方法：

病毒采用 Visual Basic 6 编写，是一个蠕虫病毒。

病毒特征如下：

1.修改注册表自启动，相关键值如下：

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS
\CURRENTVERSION\RUN "Pilif" = "％SYSDIR％\PILIF.EXE"

2.禁止使用任务管理器，相关键值如下：
HKEY_CURRENT_USER\Software\Microsoft\Windows
\Currentversion\policies\system

"disabletaskmgr" = 0X00000001

3.该病毒在注册表中保存一个计数器，来计算被运行的次数，当大于10次后将显示一个消息框，内容如下：

"Only two things are infinite :
The Universe and Human Stupidity.
And I am not sure about the Universe - A.Einstein"
然后计数器重新计数

4.病毒也将复制到系统目录下：

％SYSDIR％\pilif.exe

5.同时，病毒会试图终止下列反病毒软件的运行：

"KASPersky Anti-Virus"
Kaspersky AV Control Centre"
"Agnitium Firewall"
"Kaspersky AV Monitor"
"Kaspersky Anti-Virus Scanner"
"McAfee"
"Norton Anti-Virus"
"Norton Firewall"
"Sygate Personal Firewall"
"Windows Updater"
"Zone Alarm"

6.病毒每隔十秒将提示关闭机器

7.它通过局域网、邮件、P2P、IRC传播

a.局域网传播时病毒试图复制自己到映射的网络驱动器上

b.邮件传播时病毒从本地文件中搜索邮件地址

c.P2P传播时复制到P2P共享目录的文件名为诸如：
Kasperky AV Universal Key.exe，
Dark Coderz Alliance.exe
类的具有欺骗性的名称

d.IRC传播时是向IRC公用频道发送欺骗消息并使用DCC发送病毒体

8.病毒将在每年的6月4日显示一个消息：

"Happy birthday Ombladon! FUCk you Pilif..."
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2004-10-9

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有