“新娘”病毒

新娘病毒(Worm.Bride.11468)利用(iframe漏洞傳播,病毒約(150K)PE程式,感染長度為114688位元組。病毒傳播過程中會創建臨時檔案,Windows桌面目錄創建檔案名稱Help.eml。Windows臨時目錄創建檔案名稱為Brade0.tmp,Brade1.tmp等。

蠕蟲新娘病毒運行後,複製自身到系統目錄及Windows桌面,命名(REGEDIT.EXE、EXPLORER.EXE)關閉進程中的反病毒軟體搜尋所有HTMDBX檔案中的EMAIL地址,找到即會向地址傳送大量的病毒郵件

基本介紹

  • 中文名:新娘病毒
  • 外文名:Worm.Bride.11468
  • 編寫語言Visual Basic
  • 病毒類型:Win32蠕蟲
  • 危害系統:Windows 98/95/XP
  • 字長:114688位元組
  • 傳播方式:網路/郵件
  • 感染對象:網路
病毒機理,攻擊原理,病毒構成,中毒症狀,傳播方式,病毒清除,

病毒機理

攻擊原理

病毒在Windows 2000/ XP等作業系統環境下正常運行。偽裝成一個虛假的發信人向外界網路傳送大量的病毒郵件,通過htmdbx檔案搜尋用戶所有的郵件地址,並向這些地址傳送大量的病毒郵件,進行傳播。

病毒構成

病毒運行時,在桌面上生成一個Madam.exe檔案及一個可以自動執行的病毒郵件madam.eml。病毒運行還會彈出一幅照片,用戶在欣賞這張照片時,病毒將一些反病毒軟體刪除。修改註冊表項HKCUSoftware/Microsoft/Windows/Current/VersionRun下添加鍵值regedit= %WinSystem%regedit.exe,系統啟動病毒自動運行。
病毒釋放FUNLOVE病毒的變種到系統目錄下,命名為MSCONFIG.EXE。專門感染Windows的PE檔案。感染本地機器的執行檔後,之後在傳播區域網路廣域網破壞其他機器

中毒症狀

病毒向Outlook地址簿、htm及dbx檔案中的地址傳送大量病毒郵件。刪除系統目錄下的MSconfig.exe。病毒在記憶體中激活,機器會變得非常慢並且時不時地停止回響,機器可能會崩潰或對任何指令都不回響。

傳播方式

郵件傳播。發件人:[已註冊Windows的用戶名],主題:[已註冊Windows的公司名]
正文: Product Name: [Windows Version],Product ID: [Windows ID],Product Key: [Key],Process List::[List of processes]。附屬檔案:Readme.exe(114,687位元組)。數據來源於被感染機器。預覽郵件時病毒自動運行。)
該病毒利用IFRAME漏洞傳播,在沒有打補丁的用戶機器上,預覽即會激活該蠕蟲。共享磁碟Funlove感染共享磁碟上檔案。

病毒清除

進入DOS系統打開註冊表HKCUSoftware/Microsoft/Windows/Current/VersionRun)刪除regedit= %WinSystem%regedit.exe。安全模式下刪除(C:\Documents and Settings\Administrator)目錄Help.eml、Brade0.tmp、Brade1.tmp。

相關詞條

熱門詞條

聯絡我們