基本介紹
- 中文名:Worm.Win32.Wogue.k
- 感染對象:Windows 98/Windows ME
- 傳播途徑:區域網路傳播
- 病毒分析:該蠕蟲程式激活後
- 鍵值::MSMSGS
病毒分析,感染對象,傳播途徑,
病毒分析
該蠕蟲程式激活後,拷貝自身到C:\Program Files\Common Files\Services目錄下並重命名為svchost.exe,將檔案屬性設定為隱藏和系統;添加註冊表啟動項,使svchost.exe隨系統一起啟動;關閉一系列視窗;強行終止某些進程;關閉系統的還原功能;關閉ICS服務;關閉mcshield;修改系統時間,使部分防毒軟體不能正常運行;感染檔案msmsgs.exe,並將其註冊為自啟動項;在各分區和可移動存儲介質中釋放隱藏病毒檔案IO.pif以及autorun.inf,利用Windows自動播放功能進行傳播;從以下網址下載病毒檔案,存放在本地目錄C:\Program Files\Internet Explorer\PLUGINS 下;查找區域網路可用共享,試圖通過區域網路傳播。
病毒添加啟動項:
項:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
鍵值:默認
指向檔案:svchost.exe
項:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
指向檔案:msmsgs.exe
下載地址:
http://***.cn/hz/1.exe
http://***.cn/hz/2.exe
http://***.cn/hz/3.exe
……
autorun.inf檔案內容:
[AutoRun]
open=IO.pif
shellexecute=IO.pif
shell\\Auto\\command=IO.pif
感染對象
Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003
傳播途徑
區域網路傳播、可移動存儲
安全提示www.newjian.com 已安裝微點主動防禦軟體的用戶,無論您是否已經升級到最新版本,微點主動防禦都能夠有效防禦該蠕蟲程式。如果您沒有將微點主動防禦軟體升級到最新版,微點主動防禦軟體在發現該病毒後將報警提示您“發現未知間諜”,請直接選擇刪除處理;
如果您已經將微點主動防禦軟體升級到最新版本,微點將報警提示您發現“Worm.Win32.Wogue.k”,請直接選擇刪除。
