概述
病毒別名:處理時間:
威脅級別:★★
中文名稱:
病毒類型:蠕蟲
影響系統:Win9x / WinNT
病毒行為:
這是一個通過檔案共享傳播的蠕蟲病毒。該病毒會在Kazaa檔案共享系統和其他一些軟體(例如:ICQ、BearShare、Morpheus等等)的已分享資料夾下建立病毒檔案,並給這些病毒檔案取些非常具有欺騙性的名字,誘騙用戶去拷貝這些病毒並運行,從而導致感染該蠕蟲病毒。此外該病毒還會關閉Kaspersky反病毒軟體,會降低系統的安全性能。1)將病毒拷貝到系統目錄:
%System%\internet.exe
%SystemRoot%\internet.exe
2)為病毒添加啟動項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"internet.exe"="%SystemRoot%\internet.exe"
3)將病毒拷貝到一些已分享資料夾下:
%SystemDriver%\My Downloads\NFS_7_Path.exe
%ProgramFiles%\ICQ\Shared Files\screensaver.scr
%ProgramFiles%\ICQ2000b\Shared Files\screensaver.scr
%ProgramFiles%\icq99\Shared Files\screensaver.scr
%ProgramFiles%\icq2000\Shared Files\screensaver.scr
%ProgramFiles%\Grokster\My Grokster\KOF2K2.zip.EXE
%ProgramFiles%\EDonkey2000\Incoming\PS2 EMU REALWORKING.EXE
%ProgramFiles%\BearShare\Shared\XBOX EMU REALWORKING.EXE
%ProgramFiles%\Morpheus\My Shared Folder\HOT SEXY SCREENSAVER.Scr
4)向Kazaa檔案共享系統的默認傳輸路徑寫入病毒的多個副本,這些副本的檔案名稱都非常具有欺騙性:
winamp502_full.exe
spdialer.exe
rammstein.scr
mozilla-1.6-win32-installer.exe
cdex_160_enu.exe
kavperspro45rus.exe
restorator_4.0.exe
win_rar330.exe
mdialer_4.exe
apache_1.3.22-PL30.9-win32-x86.exe
offline_explorer_3.0_setup.exe
5)關閉標題帶有如下字眼的視窗:
Kaspersky Anti-Virus Scanner
Kaspersky Anti-Virus Control Centre
Kaspersky Anti-Virus Updater
Kaspersky Anti-Virus Rescue Disk
Kaspersky Office Guard
Untitled - Kaspersky Report Viewer
Kaspersky Virus List Generator
6)向某些特定的文本檔案中寫入字元串“鑼?覲祜