概述
病毒別名:處理時間:
威脅級別:★★
中文名稱:毀滅火影5.0
病毒類型:木馬
影響系統:Win9x/WinNT/Win2K/WinXP/Win2003
病毒行為:
編寫工具:
Borland Delphi
傳染條件:
發作條件:
病毒特性
系統修改:A、將自身複製到:
"%SystemRoot%SOS.exe"
B、在註冊表主鍵HKEY_LOCAL_MATIONSOFTWAREMicrosoftWindowsCurrentVersionRunServices下添加鍵值:
"SOS" = "%SystemRoot%SOS.exe"
在註冊表主鍵HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值:
"SOS" = "%SystemRoot%SOS.exe"
在註冊表主鍵HKEY_CLASS_ROOT下創建子鍵:
"legend of mir2"
在註冊表主鍵HKEY_CLASS_ROOTlegend of mir2下創建鍵值
"Now Count" = "0"
"WinX" = "1"
C、根據配置,可能感染檔案。感染方法如下:
(1)將病毒體直接手稿原始檔案頭,
(2)在新檔案的後面附加16位元組的感染標誌:
0D 53 79 70 68 69 6C 69 73 20 4E 6F 2E 31 00 00 ----> .Syphilis No.1..
(3)再附加4位元組的病毒體長度數據。
發作現象:
A、系統反應變慢,有不明硬碟讀寫。
B、終止如下程式的運行:
RavMon.exe
ZoneAlarm
EGHOST.EXE
MAILMON.EXE
netbargp.exe
天網防火牆個人版
天網防火牆企業版
木馬剋星
噬菌體
LockDown
C、2000/XP系統下,由於檔案保護,windows會彈出檔案被替換的提示,見附圖<20040711_Win32.Troj.MirHmhy50.JPG>
特別說明:
這是一個感染檔案的傳奇2木馬,記錄帳號信息傳送到指定信箱。
