Worm.Win32.VB.b

2008-02-23 09:20:16来源：互联网阅读 ()

病毒名称: Worm.Win32.VB.b 类别：蠕虫病毒病毒资料：破坏方法：

蠕虫病毒

病毒采用VB编写，UPX压缩。
病毒运行后有以下行为：

一、弹出对话框，显示以下内容，用于迷惑用户：

标题："Microsoft Windows ERROR!! "
内容："File corrupted!!"

二、将自己复制到以下目录：

1.％WINDIR％目录下，文件名为"SP3.EXE"。

2."C:\Program files\symantec\LiveUpdate"目录下，文件名为"LUALL.exe"。

三、修改注册表以下键值：

1.HKEY_CLASSES_ROOT\txtfile\shell\open\command
修改数据项：(默认)
数据值为："SP3.EXE ％1"

2.HKEY_CLASSES_ROOT\Htmlfile\shell\open\command
修改数据项：(默认)
数据值为："SP3.EXE -NOHOME"

3.HKEY_CURRENT_USER\Software\Microsoft\Internet EXPlorer\Main
修改数据项："window title"
数据值为："AGENTT HACKER-W32.DEADMAN@MM"

4.HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\policies
\system 增加数据项："disabletaskmgr"
数据值为：0X00000001

5.HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion
\policies\system
增加数据项："disableregistrytools"
数据值为：0X00000001

6.HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion
\Policies\Explorer
增加数据项："norun"
数据值为：0X00000001

7.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
增加数据项："Service Pack 3"
数据值为："SP3.EXE"

四、修改本地计算机的计算名为"Agentt Hacker"。

五、对以下网站进行拒绝服务攻击：

"www.microsoft.com"、
"www.hotmail.com"、
"www.fbi.gov"、
"www.symantec.com"、
"www.rohitab.com"

六、修改HOSTS文件，导致以下网站无法正常访问：

"www.symantec.com"、
"www.microsoft.com"、
"www.McAfee.com"、
"www.rohitab.com"、
"www.worldsex.com"、
"www.ASTALAVista.com"、
"www.Google.com"、
"www.yahoo.com"、
"www.geocities.com"

七、试图将自己复制到A盘根目录下，文件名可能为：

"Service Pack 2.exe"、
"Service Pack 3.exe"、
"PORN.exe"、
"Britney.exe"、
"Windows-Update.exe"、
"XP_UPDATE.exe"、
"FireWall-Update.exe"、
"EMINEM.exe"

八、下载指定网址的文件到本地计算机运行。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2005-1-20

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有