W32.Blackmal.E@mm

2008-02-23 09:33:45来源：互联网阅读 ()

病毒名称: W32.Blackmal.E@mm 类别：邮件病毒病毒资料：这是一个邮件病毒，感染 windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统，此病毒利用网络共享传播，并减低系统安全设置，到当收到、打开此病毒时，有以下危害：

A 在系统目录下创建以下文件
scanregw.exe
WinZip.exe
Update.exe
WINZIP_TMP.EXE
SAMPLE.ZIP
New WinZip File.exe
B 在Windows目录下创建 Rundll16.exe 文件
C 在当前目录创建以下文件
movies.exe
Zipped Files.exe
D 在系统目录下创建空.zip文件，将自身植入其中，然后打开用于隐藏病毒
E 加注册表项"ScanRegistry" = "scanregw.exe /scan"到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run
使得病毒每次开机后自动执行
F 修改HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced的
注册表项"WebView" = "0"
"ShowSuperHidden" = "0"
G 修改HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\CabinetState的注册表项"FullPath" = "0"
H 修改HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Licenses的注册表项入口
I 删除程序目录下的以下文件，破坏杀毒软件
\DAP\*.dll
\BearShare\*.dll
\Symantec\LiveUpdate\*.*
\Symantec\Common Files\Symantec Shared\*.*
\Norton AntiVirus\*.exe
\Alwil Software\Avast4\*.exe
\McAfee.com\VSO\*.exe

\McAfee.com\Agent\*.*
\McAfee.com\shared\*.*
\Trend Micro\PC-cillin 2002\*.exe
\Trend Micro\PC-cillin 2003\*.exe
\Trend Micro\Internet Security\*.exe
\NavNT\*.exe
\Morpheus\*.dll
\KASPersky Lab\Kaspersky Anti-Virus Personal\*.ppl
\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
\Grisoft\AVG7\*.dll
\TREND MICRO\OfficeScan\*.dll
\Trend Micro\OfficeScan Client\*.exe
\LimeWire\LimeWire 4.2.6\LimeWire.jar
J 遍历注册表
HKEY_LOCAL_MACHINE\Software\INTEL\LANDesk\VirusProtect6
\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\InstalledApps
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\101
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\Panda Antivirus 6.0 Platinum中的
"Home Directory"
"NAV"
"Folder"
"InstallLocation"
将从中发现的.exe 文件删除，破坏杀毒软件
K 遍历注册表 HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\InstalledProdUCts
\Kaspersky Anti-Virus Personal的"Folder"，将从中发现的所有文件删除，破坏杀毒软件
L 遍历注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\App Paths\Iface.exe的"Path"
将从中发现的.ppl和.exe文件删除，破坏杀毒软件
M 关闭包含以下字符的标题的窗口
SYMANTEC
SCAN
KASPERSKY
VIRUS
MCAFEE
TREND MICRO
NORTON
REMOVAL
FIX
N 从注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices
中，删除以下注册表值
PCCIOMON.exe
pccguide.exe
Pop3trap.exe
PccPfw
Tmproxy
McAfeeVirusScanService
NAVAgent
PCCClient.exe
SSDPSRV
rtvscn95
defwatch
vptray
ScanInicio
APVXDWIN
KAVPersonal50
kaspersky
TMOutbreakAgent
AVG7_Run
AVG_CC
Avgserv9.exe
AVGW
AVG7_CC
AVG7_EMC
VetAlert
VetTray
OfficeScanNTMonitor
avast!
DownloadAccelerator
BearShare
O 从具有以下扩展名和名为CONTENT. 和TEMPORARY的文件中搜索邮件地址
.htm
.dbx
.eml
.msg
.oft
.nws
.vcf
.mbx
.imh
.txt
.msf
P 使用自带的SMTP地址邮件引擎，发送自身到搜集到的地址，邮件为
以下之一的标题
*Hot Movie*
A Great Video
Fw:
Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
School girl fantasies gone bad

以下之一的内容
Note: forwarded message attached. You Must View This Videoclip!

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有