該病毒為性感雞變種G,它通過MSN和已分享資料夾傳播,當用戶感染該病毒後,該病毒會修改hosts檔案,使眾多安全及反病毒公司網站地址重定位到MSN網站,有可能導致DDos攻擊,且無法正常這此安全公司的網站;禁止運行一些系統程式(如:任務管理器,msconfig.exe等),嚴重影響用戶的正常工作.
基本介紹
- 中文名:Worm.MSNLoveme.g
- 外文名:Worm.MSNLoveme.g
- 處理時間:2005-03-08
- 威脅級別:★★★
簡介,病毒行為,
簡介
病毒類型:蠕蟲
影響系統:Win9x / WinNT
病毒行為
複製自身到系統目錄System32下
svosm.exe
sysup.exe
複製自身到SystemRoot下
msmpatch.exe
在系統盤根目錄下創建以下檔案
Crazy.Html
dsm.exe
One Eye Granny pic!.pif
Me drunk at The Sea!.pif
Punk Lives! lol.pif
Me Love You Long Time.pif
Me pic.pif
HillBilly Chick lol.pif
Dumb Looking Goth Chick.pif
Hot Blonde!.pif
Modelling Her New Bikini.pif
Crazy Japanese man kicks crazy frog!.pif
Funny Hitler parody!.pif
My birthday pic!.pif
4.調用IE打開Crazy.Html檔案,該病毒有個計數器來統計有多少用戶感染了該病毒
5.修改註冊表使自身隨計算機啟而自動運行
DsmSer = "%System32%\svosm.exe"
AvSer = "%System32%\sysup.exe"
rollbk = "%SystemRoot%\msmpatch.exe"
HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
6.修改hosts檔案,使眾多安全及反病毒公司網站重定向到MSN網站,有可能導致DDos攻擊,且無法正常登錄下列公司的網站:
7.結束安全軟體和禁止運行一些系統程式(如:任務管理器,msconfig.exe等):
8.向MSN線上好友傳送病毒檔案
9.通網路已分享資料夾(如eMule)傳播自身,可能的檔案名稱如下:
MSN Display picture stealer.exe
MSN Messenger 7.exe
MSN Avatar Creator.exe
10.關閉包含以下字元串的視窗,從而達到保護病毒自身的目的:
ADWARE
ALERTS
ANTI
AUTOSTARTED
Avg
BENIGN
BLOCKER
BUG
BULLGUARD
BUSTER
CENTER
CILLIN
CLEANER
CMD
Command
DESTROY
DETECTION
DOCTOR
EARTHLINK
EDITOR
ELIMINATE
EYE
FIGHT
Filter
FIREWALL
FIX
FIXING
HEAL
HELP
HUNTER
KERIO
Kill
LABS
LIVEUPDATE
MALWARE
MALWHERE
MCAFEE
NETCOP
NOD32
NORTON
PANDA
PROMPT
PROTECTOR
REGISTRY
REMOVAL
RESTORE
SANDBOX
SCAN
SECURE
SECURITY
SOPHOS
SPY
SPYBOT
SPYWARE
STOPPER
SWEEPER
TASK
TOOL
TREND
Update
VCATCH
VIRUS
WATCH
WORM
PROCESS
