Worm.MSN.Funny

2008-02-23 09:24:42来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

病毒名称: Worm.MSN.Funny 类别: 蠕虫 病毒资料: 破坏方法:

vb写的蠕虫,用ASPack2.12加过壳。能同时通过MSN传播和QQ(聊天模式)传播。

首次运行时弹出虚假出错框,实际上在背后运行。

修改TCP/IP配置文件,将937个网站地址屏蔽,其中包括很多浏览率很高的网站。导致用户登陆这些时都会转向主机222.89.98.219(www.78p.com),不能正常浏览网页。

将自己拷贝到windows目录下,文件名为Rundll32.exe,再将自己拷贝几份到系统目录下,文件名为IEXPLORER.EXE,explorer.exe。xp以前操作系统还有一个userinit32.exe文件。

修改注册表

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"MMSystem" : "c:\winnt\rundll32.exe
"c:\winnt\system32\mmsystem.dll"", RunDll32"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"MMSystem" : "c:\winnt\rundll32.exe
"c:\winnt\system32\mmsystem.dll"",RunDll32"
HKLM\Software\Microsoft\Windows\
CurrentVersion\RunOnce
"MMSystem" : "c:\winnt\rundll32.exe
"c:\winnt\system32\mmsystem.dll"", RunDll32"
HKCU\Software\Microsoft\Windows
\CurrentVersion\RunOnce
"MMSystem" : "c:\winnt\rundll32.exe
"c:\winnt\system32\mmsystem.dll"", RunDll32"

XP以前操作系统还会修改

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit" :
"C:\WINNT\system32\userinit32.exe,"

这样病毒会随开机而启动。

几个进程同时运行,形成双进程保护,在任务管理器里很难结束。


对MSN在线好友发送以下信息:

一家新开的酒吧,晚上聚聚,这里有介绍 %url%,记得给我电话
朋友,多注意休息啊,可以到这里放松放松哦,%url%
我们也来俗一把如何,看MM去,%url%,够味!呵呵!
日本人在南京大屠杀的铁证!坚决抵制日货 %url%
对中国威胁最大的十个国家!列表 %url%
我见过最漂亮的视频MM (不看可别后悔), %url%
《中国农民调查》页页血泪,惊动中央 转自网易, %url%

%url%为http://www.78p.com等。

也会直接向好友发送病毒本身,文件名为funny.exe。

有可能把病毒当作图片发送过来,使用户放松警惕。

手工恢复TCP/IP配置文件方法如下:
9x系统,用记事本打开%windows%hosts.sam文件,将包含“222.89.98.219“的字符都删除。
NT/2k/XP系统,用记事本打开%windows%system32\drivers\etc\hosts文件,将包含“222.89.98.219“的字符都删除。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-10-10

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:I-Worm.Pilif

下一篇:Worm.sdbot-ib