荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: xhjx (.......................................), 信区: Virus
标 题: “将死者”病毒技术特征
发信站: 荔园晨风BBS站 (Thu Dec 6 12:26:57 2001), 站内信件
12月4日首次出现于法国的新型恶意病毒“将死者”,又是一例传播速度非常
惊人、危害程度相当巨大的蠕虫病毒,据反病毒专家称,此例病毒将有可能成为继
去年的“爱虫”病毒之后又一种大规模爆发的病毒。如此恶劣迅猛的病毒,其到底
有什么技术特征呢?下面就是金山公司反病毒应急处理中心对该病毒进行分析后得
出的技术特征。
“将死者”病毒是一种通过email传播的蠕虫病毒,其附件名为GONE.SCR,它
伪装成了一个屏幕护程序。
邮件主题为: Hi
邮件正文为:
How are you ?
When I saw this screen saver, I immediately thought about you I am
in a harry,
I promise you will love it!
此病毒是用Visual Basic编写,且经过压缩软件UPX压缩,反解压工具处理,
使之用原始的UPX不能解压。由于是VB编写的病毒,它运行时就需要一个VB的动态
链接库msvbvm60.dll,若用户的计算机里没这个文件,病毒就无法被激活,这些用
户则会幸免于难。
另外,此病毒运行时会将自身拷贝至windows的%system%目录下,为使病毒
能在windows下次启动时自动运行,它会将自己添加到注册表中:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run。
为了更好的运行,此病毒还会搜索计算机里的反病毒软件,它首先检查内存中
是否有如下程序:
APLICA32.EXE
AVCONSOL.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
ESAFE.EXE
FRW.EXE
FEWEB.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
LOCKDOWN2000.EXE
PCFWallIcon.EXE
PW32.EXE
TDS2-98.EXE
TDS2-NT.EXE
VP32.EXE
VPCC.EXE
VPM.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
VW32.EXE
WEBSCANX.EXE
ZONEALARM.EXE
若存在上述程序,病毒将会自动关闭它们,同时查找硬盘上对应文件所在目录
,并删除该目录下的所有文件。若无法删除,病毒会修改wininit.ini文件以便在
系统重启时删除文件。
--
│
◎┌───────────────────────────────┼──
│ 匆匆的大学生活 匆匆的聚会 还有匆匆的歌声 │
│ 朋友你可曾记得 我们曾经的那段快乐的时光和彼此的约定 │
──┼───────────────────────────────┴──
│
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店