金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
1.通过k32.dll基址获得导出API。 2.拷贝自身到C:windowssystem32 unouce.exe 3.写入注册表自启动HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
行为分析:
这是个感染型的蠕虫病毒。它会感染所有的.exe、.scr、.htm、.html格式文件,如果用户将含毒文件用邮件发送出去,病毒无需收信人主动打开即可自动执行。另外,此毒还会感染局域网中的其它正常电脑。
:
影响系统:
Win9x,WinMe,Linux
简介:
1.通过k32.dll基址获得导出API。 2.拷贝自身到C:windowssystem32 unouce.exe 3.写入注册表自启动HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
行为分析:
这是个感染型的蠕虫病毒。它会感染所有的.exe、.scr、.htm、.html格式文件,如果用户将含毒文件用邮件发送出去,病毒无需收信人主动打开即可自动执行。另外,此毒还会感染局域网中的其它正常电脑。
描述:
1.通过k32.dll基址获得导出API。
2.拷贝自身到C:windowssystem32
unouce.exe
3.写入注册表自启动HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键名:Runonce
键值:"C:WINDOWSsystem32
unouce.exe"
4.查找最顶层的窗口句柄,对这个窗口进行注入,注入代码守护runouce.exe进程,发现没有就启动这个进程。
5.开启一个线程,这个线程守护注册表run键,一旦变化就更改回来。
6.扫描本地驱动器,跳过C:windows目录。感染后缀名为exe文件和scr文件还有和htm和html文件。
对exe文件和scr文件直接写在原文件的尾部,如果没有空隙就自己添加空间,更改入口。
7.感染html文件,写入一个readme.eml的文件,
在html文件尾添加一段
这是利用一个可以影响运行Microsoft Internet Explorer 5.01 和 5.5的漏洞。
此漏洞使得邮件附件无需用户主动打开即可自动执行。携带的病毒附件被标记为audio/x-wav类型。因此默认的音频文件播放器将被用于尝试打开该附件,附件保存在readme.eml文件中。
8.枚举网络资源,通过局域网的共享资源来传播自身。
9.执行net send * my god!some one killed chinesehacker-2 monitor 进行局域网广播。
1.通过k32.dll基址获得导出API。
2.拷贝自身到C:windowssystem32
unouce.exe
3.写入注册表自启动HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键名:Runonce
键值:"C:WINDOWSsystem32
unouce.exe"
4.查找最顶层的窗口句柄,对这个窗口进行注入,注入代码守护runouce.exe进程,发现没有就启动这个进程。
5.开启一个线程,这个线程守护注册表run键,一旦变化就更改回来。
6.扫描本地驱动器,跳过C:windows目录。感染后缀名为exe文件和scr文件还有和htm和html文件。
对exe文件和scr文件直接写在原文件的尾部,如果没有空隙就自己添加空间,更改入口。
7.感染html文件,写入一个readme.eml的文件,
在html文件尾添加一段
这是利用一个可以影响运行Microsoft Internet Explorer 5.01 和 5.5的漏洞。
此漏洞使得邮件附件无需用户主动打开即可自动执行。携带的病毒附件被标记为audio/x-wav类型。因此默认的音频文件播放器将被用于尝试打开该附件,附件保存在readme.eml文件中。
8.枚举网络资源,通过局域网的共享资源来传播自身。
9.执行net send * my god!some one killed chinesehacker-2 monitor 进行局域网广播。
回复
评论病毒
