病毒名稱
Worm.ImpoFile
病毒介紹
處理時間:
威脅級別:★★
中文名稱:重要檔案
病毒類型:蠕蟲
影響系統:Win9x/ WinNT
病毒行為:
該病毒通過郵件進程傳播。附屬檔案內含有一個名為“重要檔案.exe”的病毒檔案。用戶運行該附屬檔案後,會從網上下載一個名為“密碼解霸”的木馬(Win32.Hack.PowerSpider.a)用於竊取用戶計算機內的密碼,然後發給病毒製作者手中。
1、在註冊表主鍵
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
添加如下鍵值:
"realsched"="%system%\realsched.exe"
2、將自身複製到系統目錄下:
%system%\realsched.exe
3、會彈出標題欄為“致命錯誤”,內容為“檔案損壞,請修復”的對話框,用於麻痹用戶。
4、從網上下載兩個檔案:
http://w***q.5**j.com/mm.zip(病毒本身)
本地保存為
%temp%\~a.zip
http://w***q.5**j.com/rc.jpg(密碼解霸木馬,用於竊取用戶密碼等敏感信息)
下載後本地保存為
%temp%\~Cttp.exe,並運行該檔案
5、郵件內容可能為以下之一:
請看附屬檔案。
都在附屬檔案裡面。
重要檔案。
QQ病毒專殺工具。
請查收附屬檔案,
附屬檔案在哪啊?你找到我嗎?
放心打開來。
注意,有病毒。就在附屬檔案中。
……
6、附屬檔案為一壓縮檔,包內有檔案名稱為“重要檔案.exe”的病毒檔案