Worm/DoomHunter傳播到所有感染了"挪威客"及其變種病毒的機器上。
基本介紹
- 中文名:Worm/DoomHunter
- 病毒長度:5,120
- 病毒類型:網路蠕蟲
- 影響平台:Win2000/XP
傳播過程,特徵,
1.複製自身為:
%System%worm.exe
2.修改註冊表:
/在註冊表啟動項下添加鍵值,以便隨系統啟動而運行。
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Delete Me"="worm.exe"
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
3.運行後出現內容不確定的信息提示框,但標題都為Mydoom removal worm(DDos the RIAA!!)
4.結束下列進程,並刪除其在系統目錄下的源檔案:
SHIMGAPI.DLL
CTFMON.DLL
REGEDIT.EXE
TEEKIDS.EXE
MSBLAST.EXE
EXPLORER.EXE
TASKMON.EXE
INTRENAT.EXE
5.連線並監聽TCP連線埠3127,連線成功後,蠕蟲首先傳送5個位元組字元到遠程機器,然後再傳送蠕蟲複本檔案,並利用挪威客的後門組件執行。
