病毒概述

病毒运行概述

杀毒步骤

病毒概述

Joke 病毒 以取乐为目的 ， 在用户电脑中传播， 没有盗号的风险，但是会弹出对话框和声音，影响用户工作

病毒运行概述

本地磁盘感染

病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行文件遍历感染

注:不感染文件大小超过10485760字节以上的.

P.S.(病毒将不感染如下目录的文件):

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

Common Files

Windows NT

Recycled

System Volume Information

Documents and Settings ……

(病毒将不感染文件名如下的文件): setup.exe

病毒将使用两类感染方式应对不同后缀的文件名进行感染

1)二进制可执行文件(后缀名为:EXE,SCR,PIF,COM): 将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染.

2)脚本类(后缀名为:htm,html,asp,php,jsp,aspx): 在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞): <iframe src=></iframe>

在感染时会删除这些磁盘上的后缀名为.GHO

#生成autorun.inf#

病毒建立一个计时器以，5秒为周期在磁盘的根目录下生成setup.exe(病毒本身) autorun.inf 并利用AutoRun Open关联使病毒在用户点击被感染磁盘时能被自动运行。

释放一下文件

fyx.job

fyx.vbs

fyx.reg

fyx.bat

其中 vbs 的内容为：

CreateObject("SAPI.SpVoice").Speak "yell"

job为病毒添加定时启动

reg文件添加

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]

"LegalNoticeCaption"="I'M FYX ， I like joke。yell~~"

"LegalNoticeText"="warn"

bat 文件为

run fyx.job

fyx.vbs

fyx.reg

杀毒步骤

win+f 搜索 fyx.job

fyx.vbs

fyx.reg

fyx.bat

删除它们

修改注册表

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]

"LegalNoticeCaption"=""

"LegalNoticeText"=""

删除计划任务中的fyx.job

Ok