这是一个蠕虫。采用Delphi编写。主要通过猜测主机的登陆账户和密码进行传播。与最近流行的Rbot,Sdbot病毒很接近,不同的是编写的语言不一样。作者应该也不同。
首次运行时将自己拷贝到C盘根目录,文件名为~tmp4265.exe,并写注册表项:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
Win Loader : C:\~tmp4265.exe
这样可以保证病毒能够随着开机而自启动。
病毒每次启动都会主动连接tehsex.no-ip.com,这是一个色情站点。病毒通过这样的方法来增加网站的访问量。
对系统有破坏行为,主要体现在删除以下文件:
C:\Program Files\Adobe\Photoshop 6.0\Photoshp.exe
C:\Program Files\AIM\aim.exe
C:\Program Files\Ahead\Nero\nero.exe
C:\Program Files\Call of Duty\CoDSP.exe
C:\Program Files\Borland\Delphi6\Bin\delphi32.exe
C:\Program Files\EA Games\Command and Conquer Generals
\generals.exe
C:\Program Files\iTunes\iTunes.exe
C:\Program Files\KASPersky Lab\Kaspersky Anti-Virus Personal\Avp32.exe
C:\Program Files\Kazaa Lite K \klrun.exe
.......
病毒还偷盗一些游戏和软件的序列号信息,如:
CounterStrike Retail,
C&C Generals,
Black and White,
Global OperationsIGI2 - Covert Strike,
Freehand MX,Dreamweaver MX....
病毒通过猜密码传播自身,候选密码不多,但都是比较常见的简单密码,如:
1234,
passWord,
word,6969,
harley,rley,
123456,3456,
golf,pussy,
mustang,
tang,
1111,
shadow,
adow,
1313,
fish,
5150,
7777,
qwerty,
erty,
baseball,
ball......
由于产生的线程很多,病毒非常占资源,系统运行将会很缓慢。
病毒还主动连接IRC服务器,去接受黑客控制。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-12-23
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
