I-Worm.Dumaru.c

2008-02-23 09:22:46来源：互联网阅读 ()

病毒名称: I-Worm.Dumaru.c 类别：蠕虫病毒病毒资料：破坏方法：

一个用vc编写的蠕虫病毒

病毒形为：

该病毒运行后将自己复制到％system32％目录下，文件名为：

load32.exe
并在注册表
Software\Microsoft\Windows\CurrentVersion\Run
中加入自己的键值：load32

病毒通过注册表
Software\Microsoft\Windows\CurrentVersion
\EXPlorer\Shell Folders\Startup
查到当前系统的启动项目录，并将自己复制到该目录。

病毒还将修改win.ini及system.ini文件。以便自己随系统启动而启动。

病毒结束以下进程：

ZAUINST.EXE.ZAPRO.EXE.ZONEALARM.EXE.
ZATUTOR.EXE.MINILOG.EXE.VSMON.EXE
LOCKDOWN.EXE.ANTS.EXE.FAST.EXE.
GUARD.EXE.TC.EXE.
SPYXX.EXE.PVIEW95.EXE
REGEDIT.EXE.DRWATSON.EXE.
SYSEDIT.EXE.NSCHED32.EXE.
MOOLIVE.EXE.TCA.EXE
TCM.EXE.TDS-.EXE.SS3EDIT.EXE.UPDATE.EXE.
ATCON.EXE.ATUPDATER.EXE.ATWATCH.EXE
WGFE95.EXE.POPROXY.EXE.NPROTECT.EXE.
VSSTAT.EXE.VSHWIN32.EXE.NDD32.EXE
MCAGENT.EXE.MCUPDATE.EXE.
WATCHDOG.EXE.TAUMON.EXE.
IAMAPP.EXE.IAMSERV.EXE
LOCKDOWN2000.EXE.SPHINX.EXE.
WEBSCANX.EXE.VSECOMR.EXE.PCCIOMON.EXE.
ICLOAD95.EXE ICMON.EXE.ICSUPP95.EXE.
ICLOADNT.EXE.ICSUPPNT.EXE.
FRW.EXE.BLACKICE.EXE.BLACKD.EXE
WRCTRL.EXE.WRADMIN.EXE.WRCTRL.EXE.
PCFWALLICON.EXE.APLICA32.EXE.
CFIADMIN.EXE CFIAUDIT.EXE.CFINET32.EXE.
CFINET.EXE.TDS2-98.EXE.TDS2-NT.EXE.
SAFEWEB.EXE.NVARCH16.EXE
MSSMMC32.EXE.PERSFW.EXE.VSMAIN.EXE.
LUALL.EXE.LUCOMSERVER.EXE.AVSYNMGR.EXE

DEFWATCH.EXE.RTVSCN95.EXE......

木马后门：

病毒启动两个后门线程。它们分别监听10000及10001端口可以执行一些客户端传来的控制命令。

病毒还将放出一些dll文件，这些文件负责进行键盘击键监听，病毒将收集用户密码信息及粘贴板数据。

病毒把webmemory 的密码文件，及一些用户系统信息（密码，粘贴板）发送到一个指定的信箱。

邮件传播：

病毒搜索.htm,.wab,.Html,.dbx,.tbb,.abd文件从中获取Email地址。并利用这些地址进行邮件传播。

邮件标题：

Use this patch immediately !

邮件标题：

Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!

附件名为：
patch.exe
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2003-12-15

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有