Worm/P2P.Niklas.u

病毒长度：不定

病毒类型：网络蠕虫

危害等级：*

影响平台：Win9X/2000/XP/NT/Me

Worm/P2P.Niklas.u是用Delphi语方编写并经UPX 1.08, Yoda's Crypter 1.2进行压缩，通过 KaZaA, Morpheus, eDonkey2000等文件共享网络进行传播，会尝试终止一些反病毒软件及防火墙程序。

传播过程及特征：

1.创建文件夹：

%Windir%\\Temp\\Binary32\\

生成文件：

%Windir%\iklaus.exe

%Windir%\\kamer.scr

%Windir%\\melis.exe

%Windir%\\Temp\\Binary32\\<任意名>.exe

2.修改注册表：

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

"nikLaus" = "%Windir%\iklaus.exe"

[HKEY_CURRENT_USER\\Software\\Kazaa\\LocalContent]

"DisableSharing" = "0"

3.试图破坏反病毒软件及防火墙程序，不但终止其进程，还会删除注册表 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices中的相关键值

4.通过文件共享进行传播。

5.通过注册表中的一些键值获取目录，在这些目录下搜索所有的.exe文件，并用蠕虫自身替代原文件：

HKEY_CURRENT_USER\\Software\\Kazaa\\Transfer

"DlDir0"

HKEY_CURRENT_USER\\Software\\Kazaa\\LocalContent

"DownloadDir"

HKEY_CURRENT_USER\\Software\\Shareaza\\Shareaza\\Transfers

"DownloadsPath"

HKEY_LOCAL_MACHINE\\SOFTWARE\\LimeWire

"InstallDir"

HKEY_CURRENT_USER\\Software\\iMesh\\Client\\LocalContent

"DownloadDir"

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer

"Download Directory"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders

"Personal"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders

"Desktop"

HKEY_LOCAL_MACHINE\\Software\\Mirabilis\\ICQ\\DefaultPrefs

"Receive Path"

获取的文件夹如：

%ProgramFiles%\\Kazaa\\共享文件夹

%ProgramFiles%\\Kazaa Lite\\共享文件夹

%ProgramFiles%\\ICQ\\共享文件夹

%ProgramFiles%\\mIRC\\Download

C:\\My Downloads

C:\\共享文件夹

C:\\mIRC\\Download

……

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%ProgramFiles%为变量一般为C:\\ProgramFiles；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。