該病毒通過 msn 傳播,也會利用 Windows Messenger 來傳播。
基本介紹
病毒描述,行為分析,
病毒描述
病毒搜尋 msn 線上聯繫人並傳送惡意連結,通過連線下載並執行病毒副本,名為 YOUANDME.PIF 。傳送訊息時會鎖定滑鼠、鍵盤,造成一種假當機的狀況,傳送完畢後便釋放。修改註冊表檔案,添加啟動項目。在 %ProgramFiles%\Adware 資料夾內釋放 "link.exe" 和 "f.exe" 兩個檔案,並執行 f.exe 檔案。
行為分析
1 、給 MSN 上的聯繫人傳送如下信息,並鎖定滑鼠、鍵盤,傳送完畢後釋放。
haha look at us~http://designof****.net/youandme.pif~
該地址現已無法訪問。
2 、釋放如下檔案,並執行 f.exe ,而 f.exe 也是一個病毒。
%Program Files%\Adware\Link.exe
%Program Files%\Adware\f.exe
其中 %Program Files% 是一個可變的路徑。
3 、修改註冊表檔案,添加啟動項目,鍵: "NvCplScan" = "nvsc32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windo ws\CurrentVersion\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce
