Borland Dephi写的控制面板文件,采用UPX压缩,是一个通过邮件和Kazaa P2P网络传播的蠕虫。
病毒感染时的Email地址是搜索 .NET Messenger的联系人获得。
1.本地感染:
一旦运行,病毒将复制多份到本地机器中,文件名随机,扩展名为 .CPL,例如:1234.CPL
2.自启动:
它将创建下列注册表键值来使自己随Windows系统自启动:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
(蠕虫文件名) = rundll32.exe shell32.dll,Control_RunDLL (蠕虫文件名)
例如:
1344.cpl = rundll32.exe shell32.dll,Control_RunDLL 1344.cpl
3.网络传播:
(1)病毒搜索.NET Messenger联系人Email地址并向这些地址发送带毒邮件,
可能的消息为:
Esta si que es zorra!!!
Fotos de asesinatos, Jack
el Destripador, Charles Manson,
y mUChos mas para decorar tu escritorio.
Yeahhh Mutha Facka... NY
Brookling in your NET.
Genera passWords para poder
entrar a las webs mas putonas de la red, y gratis, incluso podras bajar peliculas porno.
Para los verdaderos amigos...
Test de amor.
30 pregutas para saber
si tu pareja te enga
La imagen de cristo
en un bosque.
...
<鉴于篇幅,省略一些内容>
(2)病毒复制多份到 Kazaa 共享目录下,文件名可能为<有的带有大量空格>:
DivResidentEvil.ZIP.cpl
SpidermanDesktop.cpl
:AVP_KeyActualization2002.ZIP
.cpl
6Messenger_SKINs.ZIP
.cpl
Porno_sTar.cpl
:CannibalCorpse.mp3
.cpl
ASicKOFitall.Zip
.cpl
AXEbahia.cpl
NuevosVideosProfesorRossa.cpl
NewVideo_Blink182.cpl
LagWagon&Blink182.cpl
Hacking.cpl
AllMcAfeeCrack.Cpl
Britney_spearsVSDavidBeckham_AnalPasions.cpl
6Crack.PerAntivirus.Zip
.cpl
JamieThomasVSrodneyMullen.cpl
MariguanaDesktop.cpl
AgeOfEmpires2_Crack.cpl
7PSX2_Emulation.Zip
.cpl
?GameCube.Zip
.cpl
...
<鉴于篇幅,省略一些内容>
4.破坏行为:
病毒将试图删除如下软件:
C:\archiv~1\perav\pav.dll
C:\archiv~1\perav\per.dll
C:\program files\perav\pav.dll
C:\program files\perav\per.dll
%AVP安装目录%\bases\avp.set
%SYSDIR%\vshield.vxd
注: %SYSDIR% 是可变的WINDOWS系统文件夹,默认为:
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP).
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期:
2003-12-5
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
