基本介紹
- 中文名:蠕蟲病毒Win32.Puce.D
- 外文名:W32.Ecup (Symantec)
- 病毒屬性:蠕蟲病毒
- 危害性:低危害
基本信息,傳播方式,
基本信息
病毒名稱:蠕蟲病毒Win32.Puce.D
其它名稱:W32.Ecup (Symantec), W32/Puce (McAfee), W32/Puce!ITW#1 (WildList), Win32.Puce.D, Win32/Puce.d!Trojan, W32/Puce-H (Sophos), P2P-Worm.Win32.Kapucen.b (Kaspersky)
病毒屬性:蠕茅記陵察蟲病毒 危害性:低危害 流行程度:中
具體介紹:
感染方式:
運行時,Puce.D在它的當前目殃宙姜求錄生成"Log.txt"檔案並打開它。
蠕蟲複製到%Temp%\svchost.exe,運行這個副本並退墓射頁出。它還會修改註冊表,以確保每次系統啟動時運行這個副本:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsServicesStartup = "%Temp%\svchost.exe 1"
註:'%Temp%'是一個可變的路徑。病毒通過查詢作業系統來決定當前Temp資料夾的位置。一般在以下路徑"C:\Documents and Settings\<username>\Local Settings\Temp",或"C:\WINDOWS\TEMP"。
Puce.D 還生成一個名為"TINYpUcE" 的互斥體,以確道甩歡保每次只有一個副本運行。
傳播方式
通過檔案共享傳播(ZIP和RAR檔案)
Puce.D搜尋C:\ 到 E:\ 驅動器中催愚以下位置的.rar 和 .zip檔案:
\Program files\emule\incoming
\Download
\Téléchargement
\Archivos de programa\emule\incoming
\Program Files\Kazaa Lite K++\My Shared Folder
\Program files\KMD\My Shared Folder
\Program files\KaZaA Lite\My Shared Folder
\Program files\Morpheus\My Shared Folder
\Program files\BearShare\Shared
\Program files\Edonkey2000\Incoming
\My Downloads
\My Shared Folder
\Program files\appleJuice\incoming
\Program files\Gnucleus\Downloads
\Program files\Grokster\My Grokster
\Program files\ICQ\shared files
\Program files\KaZaA\My Shared Folder
\Program files\LimeWire\Shared
\Program files\Overnet\incoming
\Program files\Shareaza\Downloads
\Program files\Swaptor\Download
\Program files\WinMX\My Shared Folder
\Program files\Tesla\Files
\Program files\XoloX\Downloads
\Program files\Rapigator\Share
它還會查找C:\ to G:\ 驅動器的以棵捆旬下位置:
\Incoming
Puce.D添加"setup.exe"到.rar檔案。蠕蟲嘗試添加"Setup.exe"到.zip 檔案。如果端埋愚.zip 檔案已經包含了一個相同的檔案,那么蠕蟲就會嘗試添加"Install.exe"檔案,最後保存為"_Run_Me_First.exe"。如果.zip檔案包含這三個檔案,蠕蟲就會迴避這個檔案,不再添加病毒副本。蠕蟲還會迴避包含"_trash.tmp"檔案的任意.rar 或 .zip檔案。
添加到.rar 或 .zip檔案後,蠕蟲會添加一個空檔案"_trash.tmp" 用作標記。Puce.D還會重命名檔案:
<filename> updated-fixed <mm>-<yyyy>.<extension>
這裡的<filename> 是原始檔案名稱,<mm> 是系統當前月份,<yyyy> 是系統當前年份,<extension> 是.rar 或 .zip 檔案擴展名。
例如,"test.zip"檔案,新的檔案名稱可能是"test updated-fixed 08-2006.zip"。
添加到檔案後,Puce.D停止行為大約15分鐘,隨後再次重複傳播循環,將病毒添加到任一新發現的檔案。
清除:
KILL安全胄甲Vet 12.6.2301版本可檢測/清除此病毒。
\Program files\ICQ\shared files
\Program files\KaZaA\My Shared Folder
\Program files\LimeWire\Shared
\Program files\Overnet\incoming
\Program files\Shareaza\Downloads
\Program files\Swaptor\Download
\Program files\WinMX\My Shared Folder
\Program files\Tesla\Files
\Program files\XoloX\Downloads
\Program files\Rapigator\Share
它還會查找C:\ to G:\ 驅動器的以下位置:
\Incoming
Puce.D添加"setup.exe"到.rar檔案。蠕蟲嘗試添加"Setup.exe"到.zip 檔案。如果.zip 檔案已經包含了一個相同的檔案,那么蠕蟲就會嘗試添加"Install.exe"檔案,最後保存為"_Run_Me_First.exe"。如果.zip檔案包含這三個檔案,蠕蟲就會迴避這個檔案,不再添加病毒副本。蠕蟲還會迴避包含"_trash.tmp"檔案的任意.rar 或 .zip檔案。
添加到.rar 或 .zip檔案後,蠕蟲會添加一個空檔案"_trash.tmp" 用作標記。Puce.D還會重命名檔案:
<filename> updated-fixed <mm>-<yyyy>.<extension>
這裡的<filename> 是原始檔案名稱,<mm> 是系統當前月份,<yyyy> 是系統當前年份,<extension> 是.rar 或 .zip 檔案擴展名。
例如,"test.zip"檔案,新的檔案名稱可能是"test updated-fixed 08-2006.zip"。
添加到檔案後,Puce.D停止行為大約15分鐘,隨後再次重複傳播循環,將病毒添加到任一新發現的檔案。
清除:
KILL安全胄甲Vet 12.6.2301版本可檢測/清除此病毒。