病毒名稱
蠕蟲病毒Win32.puce.D其它名稱
W32.Ecup (Symantec), W32/Puce (McAfee), W32/Puce!ITW#1 (Wildlist), Win32.Puce.D, Win32/Puce.d!Trojan, W32/Puce-H (Sophos), P2P-Worm.Win32.Kapucen.b (Kaspersky)病毒屬性
蠕蟲病毒危害性:低危害流行程度:中具體介紹
病毒特性:Win32/Puce.D是一種通過點對點(P2P)檔案共享傳播的蠕蟲。蠕蟲添加到與P2P檔案共享軟體相關的目錄中的.zip 和 .rar檔案中。病毒是大小為106,496位元組的Win32可運行程式。
感染方式:
運行時,Puce.D在它的當前目錄生成"Log.txt"檔案並打開它。
蠕蟲複製到%Temp%\svchost.exe,運行這個副本並退出。它還會修改註冊表,以確保每次系統啟動時運行這個副本:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsServicesStartup = "%Temp%\svchost.exe 1"
註:'%Temp%'是一個可變的路徑。病毒通過查詢作業系統來決定當前Temp資料夾的位置。一般在以下路徑"C:\Documents and Settings\<username>\Local Settings\Temp",或"C:\WINDOWS\TEMP"。
Puce.D 還生成一個名為"TINYpUcE" 的互斥體,以確保每次只有一個副本運行。
傳播方式:
通過檔案共享傳播(ZIP和RAR檔案)
Puce.D搜尋C:\ 到 E:\ 驅動器中以下位置的.rar 和 .zip檔案:
\Program files\emule\incoming
\Download
\Téléchargement
\Archivos de programa\emule\incoming
\Program Files\Kazaa Lite K++\My Shared Folder
\Program files\KMD\My Shared Folder
\Program files\KaZaA Lite\My Shared Folder
\Program files\Morpheus\My Shared Folder
\Program files\BearShare\Shared
\Program files\Edonkey2000\Incoming
\My Downloads
\My Shared Folder
\Program files\Applejuice\incoming
\Program files\Gnucleus\Downloads
\Program files\Grokster\My Grokster
\Program files\ICQ\shared files
\Program files\KaZaA\My Shared Folder
\Program files\LimeWire\Shared
\Program files\Overnet\incoming
\Program files\shareaza\Downloads
\Program files\Swaptor\Download
\Program files\WinMX\My Shared Folder
\Program files\Tesla\Files
\Program files\XoloX\Downloads
\Program files\Rapigator\Share
它還會查找C:\ to G:\ 驅動器的以下位置:
\Incoming
Puce.D添加"setup.exe"到.rar檔案。蠕蟲嘗試添加"Setup.exe"到.zip 檔案。如果.zip 檔案已經包含了一個相同的檔案,那么蠕蟲就會嘗試添加"Install.exe"檔案,最後保存為"_Run_Me_First.exe"。如果.zip檔案包含這三個檔案,蠕蟲就會迴避這個檔案,不再添加病毒副本。蠕蟲還會迴避包含"_trash.tmp"檔案的任意.rar 或 .zip檔案。
添加到.rar 或 .zip檔案後,蠕蟲會添加一個空檔案"_trash.tmp" 用作標記。Puce.D還會重命名檔案:
<filename> updated-fixed <mm>-<yyyy>.<extension>
這裡的<filename> 是原始檔案名稱,<mm> 是系統當前月份,<yyyy> 是系統當前年份,<extension> 是.rar 或 .zip 檔案擴展名。
例如,"test.zip"檔案,新的檔案名稱可能是"test updated-fixed 08-2006.zip"。
添加到檔案後,Puce.D停止行為大約15分鐘,隨後再次重複傳播循環,將病毒添加到任一新發現的檔案。
清除:
KILL安全胄甲Vet 12.6.2301版本可檢測/清除此病毒。
