| 词条 | Worm.GOPworm.a |
| 释义 | § 概述 病毒别名:I-Worm.GOPworm.153.a【AVP】 处理时间: 威胁级别:★★ 中文名称:爱情杀手 病毒类型:蠕虫 影响系统:Win9x / WinNT § 病毒行为: 这是一个具有盗取密码特性的蠕虫病毒。它伪装成一个Flash文件,运行之后,它释放一个临时的文件,然后搜索文本文件的关联程序(一般是记事本程序),运行该程序打开,打开临时文件,造成一种假相欺骗用户,而病毒已经在后台悄悄运行。该蠕虫会释放一个Dll文件并将它注入到用户进程以及Explorer.exe进程,就可以避开防火墙的与外界通信。它搜索共享网络驱动器和映射驱动器,并将自己复制进去,然后通过修改其中的Win.ini文件来启动病毒。它会搜索用户本地的bmp、rtf、doc、txt、gif、jpeg、jpg等文件,当文件小于一定长度时,就会将kernelsys32.exe和用户文件捆绑在一起,并通过邮件以附件的形式发送给其它用户。它利用Microsoft Outlook的一个漏洞,当收到邮件的用户打开附件时,病毒就会自动执行,同时它将捆绑的文件释放到临时目录,并打开它以伪装自己。它还会窃取用户QQ密码。 1.释放文件%system%\\kernelsys32.exe(大小60313字节),并释放文件%system%\\IMEKernel32.sys(实际上是DLL文件,大小61440字节),临时文件%temp%\\BugList.txt。 2.修改注册表: 添加表项: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\ "run"="" HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run "IMEKernel32"="c:\\winnt\\system32\\kernelsys32.exe" 3.将释放的文件%system%\\IMEKernel32.sys注入到用户进程以及Explorer.exe进程,避开防火墙与外界通信。 4.搜索共享网络驱动器和映射驱动器,并将自己复制成里面的\\Recycled\otdelw.i.n.v.e.r.y.i.f.y.exe,然后通过修改其中的Win.ini文件来启动病毒。 5.该病毒会搜索.htm和.html里的邮箱地址,然后搜索用户本地的bmp、rtf、doc、txt、gif、jpeg、jpg等文件,当文件小于80K时,就会将kernelsys32.exe和用户文件捆绑在一起,并通过邮件以附件的形式发送给其它用户。它利用Microsoft Outlook的IFRAME漏洞,当收到邮件的用户打开附件时,病毒就会自动执行,同时它将捆绑的文件释放到临时目录,并打开它以伪装自己。 该病毒会在以下语句中随机选一句作为邮件主题: 想念你的模样 想我的小宝贝了 快乐 给我永恒的爱人 我爱你 想念 我在等着你 吻你 你是我的女主角 爱,有时候真的不能去比较的 哎 Fw:姐姐的照片 记得收好我的照片呀! Xue 您的朋友张给您寄来贺卡 邮件内容是内置的14种情书。 关于漏洞:http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp. 6.它还好窃取QQ密码,并将它们保存在系统目录%system%下的drocerr.sys和drocerrbk.sys文件中,在适当的时候发送给病毒作者。 |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。