Worm.Youda.b

2008-02-23 09:22:00来源：互联网阅读 ()

病毒名称: Worm.Youda.b 类别：蠕虫病毒病毒资料：破坏方法：

通过枚举网络中的共享目录进行传播的蠕虫病毒
病毒采用Delphi编写。

病毒运行后有以下行为：

一、将自己复制到"c:\windows\temp\"目录下，文件名为"ssshost.exe"，并释放图片以迷惑用户。

二、查看系统当前所运行的进程中是否有包含以下字符串的进程，如果有则将它们结束：

pfw.exe
kvfw.exe
KAVPFW.EXE
iamapp.exe
nmain.exe
freepp.EXE
freekav.EXE
freesys.EXE
Iparmor.exe
trojan_hunter.exe
Rfw.exe
taskmgr.exe

三、删除注册表中以下键值，导致与这些键值相关的反病毒软件无法自启动：

1.HKEY_LOCAL_MACHINE\SoftWare\Microsoft\windows
\CurrentVersion\Run\SKYNET Personal FireWall

2.HKEY_LOCAL_MACHINE\SoftWare\Microsoft\windows
\CurrentVersion\Run\iDuba Personal FireWall

3.HKEY_LOCAL_MACHINE\SoftWare\Microsoft\windows
\CurrentVersion\Run\iamapp

4.HKEY_LOCAL_MACHINE\SoftWare\Microsoft\windows
\CurrentVersion\Run\rfw

5.HKEY_LOCAL_MACHINE\SoftWare\Microsoft\windows
\CurrentVersion\Run\popproxy

6.HKEY_LOCAL_MACHINE\SoftWare\Microsoft\windows
\CurrentVersion\Run\RavMon

7.HKEY_LOCAL_MACHINE\SoftWare\Microsoft\windows
\CurrentVersion\Run\RavTimer

8.HKEY_LOCAL_MACHINE\SoftWare\Microsoft\windows
\CurrentVersion\RunServices\RavMon

9.HKEY_CURRENT_USER\SoftWare\Microsoft\windows
\CurrentVersion\Run\KVFW

四、删除某些反病毒软件所在目录及其子目录的所有文件。

五、搜索".EXE"为扩展名为所有文件并将它感染，感染的方式是将被感染的文件插入病毒文件的尾部。

六、枚举网络中的共享目的，并试图将自己复制到这些目录下，文件名为"我的照片.exe"。

七、为其远程控制端提供远程控制服务。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2003-11-2

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有