词条 | I-Worm/Torvil.b |
释义 | I-Worm/Torvil.b 病毒长度:65,536 bytes 病毒类型:网络蠕虫 危害等级:** 影响平台:Win9X/2000/XP/NT/Me/2003 I-Worm/Torvil.b是一个群发邮件的蠕虫病毒,是用Delphi语言编写的经过ASPack的压缩。它利用可用的MAPI或者自身的SMTP引擎传播自身。也可以通过网络共享进行传播,还能通过KaZaA和Xolox等文件共享程序以及ICQ和mIRC聊天软件进行传播。 传播过程及特征: 1.显示一个假信息,提示是否安装微软的RPC补丁程序。 2.复制自身为: %Windir%schost.exe %Windir%.exe 注:通常是以spool或者SMSS后面加上随机字符串 3.反复打开和关闭一个命令窗口,窗口的标题是.exe,内容为:<当前系统日期和时间> xExec %Windir%.exe。 4.生成文件:C:\\Torvil.log --- 记录文件且不包含病毒代码 5.修改注册表: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] "Service Host"="%Windir%.exe" [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon] "Shell"="Explorer.exe %Windir%.exe" [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\explorer\\Advanced\\OneLevelDeeper\\TorvilDB "TORVIL"=".exe" 6.终止一些反病毒软件进程。 7.利用内置的的密码库尝试与C$, IPC$,和$Admin共享进行连接,如果成功,便将病毒文件Remainder.exe复制到其下。 8.查找KaZaA和Xolox的共享文件夹以及ICQ的下载文件夹的,将下列文件复制到该目录下: NetObjects Fusion v7.5 Macromedia Studio MX 2004 AllApps BearShare Pro 4.3.0 Borland C++ BuilderX 1.0 Enterprise Edition Microsoft Office System Professional V2003 Halo FLT Nero Burning ROM v6.0.0.19 Ultra Edition TVTool v8.31 NHL 2004 Norton SystemWorks 2004 McAfee Personal Firewall Plus 2004 iMesh 4.2 Ad Remover Norton AntiVirus 2004 Norton Antispam 2004 Sophos AntiVirus v3.74 Macromedia Contribute 2 McAfee VirusScan Home Edition 2004 McAfee SpamKiller 2004 9.尝试修改mIRC.ini脚本文件,以通过mIRC将自身发送给其它的mIRC用户,使其感染。 10.从Outlook地址薄中查找Mail地址,利用自身的SMTP引擎传播自身。邮件的主题、正文及附件都不一定。 注:%Windir%为变量,一般为C:\\Windows 或 C:\\Winnt; %System%为变量,一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000), 或 C:\\Windows\\System32 (Windows XP)。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。