详细技术信息:
1、病毒运行后,在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为"virDll.dll"的文件。
2、%WinDir%virDll.dll:该蠕虫会在系统注册表中生成如下键值:
[HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW]
"auto" = "1"
3、盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。
4、阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基、金山公司的毒霸瑞星等 98%的杀毒软件运行。
国产软件在中毒后都被病毒杀死,是病毒杀掉杀毒软件。如金山,瑞星等。有些软件可以认出病毒,但是认出后不久就阵亡了。
通过写入文本信息改变"%System%driversetchosts" 文件.这就意味着,当受感染的计算机浏览许多站点时(包括众多反病毒站点),浏览器就会重定向到66.197.186.149。
病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦安装,蠕虫将会感染受感染计算机中的.exe文件。
该蠕虫是一个大小为82K的Windows PE可执行文件。
5、通过本地网络传播
该蠕虫会将自己复制到下面网络资源:
ADMIN$
IPC$
症状
蠕虫会感染所有.exe的文件。但是,它不会感染路径中包含下列字符串的文件:
- Program Files
- Common Files
- ComPlus Applications
- Documents and Settings
- NetMeeting
- Outlook Express
- Recycled
- system
- System Volume Information
- system32
- windows
- Windows Media Player
- Windows NT
- WindowsUpdate
- winnt
蠕虫会从内存中删除下面列出的进程:
- EGHOST.EXE
- IPARMOR.EXE
- KAVPFW.EXE
- KWatchUI.EXE
- MAILMON.EXE
- Ravmon.exe
- ZoneAlarm
上一页 1 2 
安全中国首页 > 文章中心 > 其他漏洞研究