I-Worm.Lentin.u.enc
2008-02-23 09:26:14来源:互联网 阅读 ()
这个蠕虫病毒的破坏行为如下。
一、拷贝自身为系统目录的下列文件
EXELDR32.EXE
EXPLORERE.EXE
REG32.EXE
MSRegScanner.exe
释放“TASKMGR32.DLL”。
二、修改注册表,破坏系统文件关联,取得启动机会。瑞星能够自动恢复。
1 HKEY_CLASSES_ROOT\exefile\shell\open\command
(默认) : "%SYSTEM%\EXELDR32.EXE""%1"%*
2 HKEY_CLASSES_ROOT\comfile\shell\open\command
(默认) : "%SYSTEM%\EXELDR32.EXE""%1"%*
3 HKEY_CLASSES_ROOT\batfile\shell\open\command
(默认) : "%SYSTEM%\EXELDR32.EXE""%1"%*
三、遍历系统所有进程,试图终止三百多种反病毒程序。
APVXDWIN.EXE、apvxdwin.exe、ATCON.EXE、ATUPDATER.EXE
AVGCC32.EXE、AVGCC32.EXE、
......
WrCtrl.exe、WRCTRL.EXE、zapro、zapro.exe、zonealarm、zonealarm.exe、ZONEALARM.EXE
四、 删除系统目录的下列文件,有其他病毒,也有系统文件。
syshelp.exe、WinGate.exe、WinRpcsrv.exe、WinServices.exe、nav32_loader.exe、tcpsvs32.exe
五、枚举IE临时文件夹的所有文件,试图从中找到邮件地址,发送携带病毒的邮件。
病毒体内有文本数组,邮件正文随机地从中选取,大致如下
Hello,
The attached prodUCt is send as a part of our official campaign
for the popularity of our product.
You have been chosen to try a free fully functional sample of our
product.If you are satified then you can send it to your friends.
All you have to do is to install the software and register an account
with us using the links provided in the software. Then send this software
to your friends using your account ID and for each person who registers
......
另外,邮件中的附件也是随机的从下列数组中选取。
Love.scr
Project.exe
Romantic.scr
FixKlez.com
FixKlez.com
FixElkern.com
Cupid.scr
Notes.exe
MyPic.scr
FreakOut.exe
THEROCK.scr
Britney_Sample.scr
zXXX_BROWSER.exe
Love.scr
Valentines_Day.scr
Beautifull.scr
Ways_To_Earn_Money.exe
MyProfile.scr
My_Sexy_Pic.scr
KOF.exe
King_of_Figthers.exe
KOF2002.exe
KOF_The_Game.exe
KOF_Demo.exe
KOF_Sample.exe
KOF_Fighting.exe
MyPic.scr
Hacker.scr
Romeo_Juliet.scr
Free_Love_Screensavers.scr
Ravs.scr
zDenka.scr
Jenna_Jemson.scr
Sexy_Jenna.scr
Sweetheart.scr
up_life.scr
World_Tour.scr
Hacker_The_LoveStory.scr
VXer_The_LoveStory.scr
Services.scr
Body_Building.scr
Peace.scr
Screensavers.scr
xxx4Free.scr
Hardcore4Free.scr
Playboy.scr
Plus2.scr
Plus6.scr
Real.scr
Sex.scrSoccer.scr
Stone.scr
I_Love_You.scr
SQL_4_Free.scr
Codeproject.scr
六、 枚举局域网资源,查找可写的文件夹,拷贝自身过去。
七、覆盖系统文件“HOSTS”,把若干网址指向本地,造成用户不能正常访问
127.0.0.1 www.symantec.com
127.0.0.1 www.microsoft.com
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-3-8
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash