*.txt *.htm *.Html *.wab *.doc *.xls *.jpg *.cpp *.c *.pas *.mpg *.mpeg *.bak *.mp3
二、如果进程ID小于3000,且任一模块中包含下面字符串:
Sircam
Nimda
CodeRed
WQKMM3878
GRIEF3878
Fun
Loving
Criminal
Norton
McAfee
Antivir
Avconsol
F-STOPW
F-Secure
Sophos
virus
AVP
Monitor
AVP
Updates
InoculateIT
PC-cillin
Symantec
Trend
Micro
F-PROT
NOD32
则该进程可能被终止
三、病毒中包括如下加密信息:
Win32 Klez V2.0 & Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*)
Copyright,made in Asia,announcement:
1.I will try my best to protect the user from some vicious virus,Funlove,
Sircam,Nimda,CodeRed and even include W32.Klez 1.X.
2.Well paid jobs are wanted
3.Poor life should be unblessed
4.Don't accuse me.Please accuse the unfair shit world
[蠕虫的流程]
1. 蠕虫使用AdjustTokenPrivileges调整自己的特权,
2.拷贝自己的一个副本到系统目录下,名为win****.exe.
3.修改注册表,向SCM数据库中添加新的服务。
4.复制自己并运行,然后删除。
5.调用StartServiceCtrlDispatcher函数。
6.服务创建下面的线程。
7.结束。
第一个线程:写注册表;遍历系统进程,结束正在运行的进程并删除进程的磁盘文件。
第二个线程:发email。
第三个线程:遍历本地网络。
第四个线程:
第五个线程:复制自己,运行后删除。
第六个线程:
第七个线程:
第八个线程:搜索磁盘文件。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Worm.Klez.i(求职信)最新变种。
发现日期: 2002-2-18
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
