一个利用P2P共享目录及MyDoom留的后门进行传播的蠕虫病毒
病毒行为:
该病毒运行后将自己复制到%system%目录下。并在注册表HKEY_LOCAL_MACHINE
\Software\Microsoft\Windows\CurrentVersion\Run中加入自己
的键值:KernelFaultChk以达到随系统启动的目的。
P2P共享目录传播:
病毒将自己复制到p2p软件的共享目录中,文件名为一些软件的破解或序号生成器以诱骗网络用户
下载。
Windows2003Keygen.exe
mIRC.v6.12.Keygen.exe
Norton.All.Products.KeyMkr.exe
F-Secure.Antivirus.Keymkr.exe
FlashFXP.v2.1.FINAL.Crack.exe
SecureCRTPatch.exe
TweakXPProKeyGenerator.exe
FRUITYLOOPS.SPYWIRE.FIX.EXE
ALL.SERIALS.COLLECTION.2003-2004.EXE
WinRescue.XP.v1.08.14.exe
GoldenHawk.CDRWin.v3.9E.Incl.Keygen.exe
BlindWrite.Suite.v4.5.2.Serial.Generator.exe
Serv-U.allversions.keymaker.exe
WinZip.exe
WinRar.exe
WinAmp5.Crack.exe
利用MyDoom留的后门进行传播:
病毒随机扫描MyDoom留的后门端口,并尝试利用该后门将自己复制过去以便去清除Mydoom
从而也达到了传播自己的目的。
进程监视:
病毒扫描系统进程例表当发现和体内的“黑名单”相符的将结束该进程。
avconsol ,apvxdwin ,ackwin32 ,blackice ,blackd ,dv95 ,espwatch ,esafe
efinet32 ,ecengine ,f-stopw ,frw ,fp-win ,f-prot95 ,f-prot95 ,f-prot
fprot ,f-agnt95 ,gibe ,iomon98 ,iface ,icsupp ,icssuppnt ,icmoon ,icmon
icloadnt ,icload95 ,ibmavsp ,ibmasn ,iamserv ,iamapp ,kpfw32 ,nvc95 ,nupgrade
nup大te ,normist ,nmain ,nisum ,navw ,navsched ,navnt ,navlu32 ,navapw32
zapro,Document ,readme ,doc ,text ,file ,大ta ,test ,message ,body ,taskmon
xsharez_scanner ,BlackIce_Firewall_Enterpriseactivation_crack ,zapSetup_95_693
MS59-56_hotfix ,winamp0 ,NessusScan_pro ,attackXP-6.71.....
修改、破坏系统的关键文件,导致系统崩溃
PE 的意思就是 Portable Executable(可移植的执行体)。
它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable executable"(可移植的执行体)意味着此文件格式是跨win32平台的 : 即使Windows运行在非Intel的CPU上,任何win32平台的PE装载器都能识别和使用该文件格式。
PE病毒是指所有感染Windows下PE文件格式文件的病毒。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024