金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
病毒名:Worm.Zhelatin.xv.131584
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
1.病毒运行后释放以下文件: x:windowskavir.exe X:windows ivavir.config
行为分析:
这是一个通过Email传播的蠕虫病毒,病毒运行后衍生病毒文件,修改注册表,添加启动项,以达到随机启动的目的,该病毒会搜索计算机中的 E-mail 地址,自动发送邮件,并在邮件附件中添加病毒为附件。
:
影响系统:
Win9x,WinMe,Linux
简介:
1.病毒运行后释放以下文件: x:windowskavir.exe X:windows ivavir.config
行为分析:
这是一个通过Email传播的蠕虫病毒,病毒运行后衍生病毒文件,修改注册表,添加启动项,以达到随机启动的目的,该病毒会搜索计算机中的 E-mail 地址,自动发送邮件,并在邮件附件中添加病毒为附件。
描述:
1.病毒运行后释放以下文件:
x:windowskavir.exe
X:windows
ivavir.config
其中kavir.exe是病毒自身副本,nivavir.config实际上是配置ini文件,包含连接端口号,邮件主题,发件人等信息,这些信息需要程序解密。
2.运行以下命令:
"netsh firewall set allowedprogram "C:WINDOWSkavir.exe" enable"(防火墙允许程序连接网络)
"w32tm /config /syncfromflags:manual /manualpeerlist:time.windows.com,time.nist.gov"
(与指定服务器同步系统时间);
"w32tm /config /update"(通知时间服务配置被更改,使更改生效)
3.在注册表中设置自启动项
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
"kavir"=Xwindowskavir.exe;
4.病毒开启本机端口16595,发送用户名密码昵称等交互信息连接黑客制定地址,在这个端口上监听黑客的指令。
5.病毒搜索计算机中的EMAIL地址,自动向这些地址发送邮件,附件为病毒自身。为了欺骗用户,邮件服务器伪装为yahoo.com,gmail.com等,邮件的主题和发件人等信息从nivavir.config中选取。
1.病毒运行后释放以下文件:
x:windowskavir.exe
X:windows
ivavir.config
其中kavir.exe是病毒自身副本,nivavir.config实际上是配置ini文件,包含连接端口号,邮件主题,发件人等信息,这些信息需要程序解密。
2.运行以下命令:
"netsh firewall set allowedprogram "C:WINDOWSkavir.exe" enable"(防火墙允许程序连接网络)
"w32tm /config /syncfromflags:manual /manualpeerlist:time.windows.com,time.nist.gov"
(与指定服务器同步系统时间);
"w32tm /config /update"(通知时间服务配置被更改,使更改生效)
3.在注册表中设置自启动项
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
"kavir"=Xwindowskavir.exe;
4.病毒开启本机端口16595,发送用户名密码昵称等交互信息连接黑客制定地址,在这个端口上监听黑客的指令。
5.病毒搜索计算机中的EMAIL地址,自动向这些地址发送邮件,附件为病毒自身。为了欺骗用户,邮件服务器伪装为yahoo.com,gmail.com等,邮件的主题和发件人等信息从nivavir.config中选取。
回复
评论病毒
