基本介紹
- 中文名:Email-Worm.Win32.Warezov.ds
- 病毒名稱:: Email-Worm.Win32.Warezov.ds
- 病毒類型:: 蠕蟲
- 檔案 MD5::DCDC090E93A0F4EC23FE69E5E
基本信息,行為分析,
基本信息
病毒名稱: Email-Worm.Win32.Warezov.ds
檔案 MD5: DCDC090E93A0F4EC23FE69E5E5F66C0A
公開範圍: 完全公開
危害等級: 3
檔案長度: 31,236 位元組
感染系統: windows98以上版本
開發工具: Microsoft Visual C++ 6.0 – 7.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.22
命名對照: 驅逐艦[Win32.HLLM.Limir.based]
BitDefender [無]
病毒描述:
行為分析
1、病毒圖示為notepad.exe的圖示,用以迷惑用戶點擊。
2、衍生病毒檔案到%system32%下,命名是隨機的。在病毒所在目錄會生成一個.tmp的檔案。
3、修改註冊表:
修改的註冊表鍵值:
HKEY_CURRENT_USER\SessionInformation\
新建鍵值:字串:"ProgramCount "="3"
原鍵值:字串:" ProgramCount "="2"
新建的註冊表鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum\
值: 字元串: "0"="SW\
\ "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum\
值: 字元串: "0"="SW\
\"
4、該病毒可以記錄鍵盤操作,從而盜取用戶敏感信息。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案:
修改的註冊表鍵值:
HKEY_CURRENT_USER\SessionInformation\
新建鍵值:字串:"ProgramCount "="3"
原鍵值:字串:" ProgramCount "="2"
新建的註冊表鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum\
值: 字元串: "0"="SW\\ "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum\
值: 字元串: "0"="SW\\"
