worm.win32.otwycal.g,該病毒屬蠕蟲類,病毒運行後復判斷進程列表中是否存在smss.exe進程,若不存在程式退出模組。
基本介紹
- 外文名:worm.win32.otwycal.g
- 危害等級: 5
- 檔案長度: 15,148 位元組
- 感染系統: Windows98以上版本
病毒名稱,病毒類型,病毒簡介,
病毒名稱
Worm.Win32.Otwycal.g
病毒類型
病毒簡介
檔案 MD5: 4EB719473F0B2AECB412EC72F879D1B7
開發工具: Microsoft Visual C++ 6.0
加殼類型: WinUpack 0.39
1、該病毒屬蠕蟲類,病毒運行後復判斷進程列表中是否存在smss.exe進程,若不存在程式退出模組;
2、判斷程式是否為%DriveLetter%\MSDOS.bat,若是用資源管理器打開該驅動器後返回;
3、刪除檔案%Windir%\Tasks\0x01xx8p.exe後,將自身移動到該位置,並更改為該檔案名稱;
4、檢測進程中是否有avp.exe進程,如果有,修改系統時間為2004年1月1日9時1分,使卡巴主動防禦過期失效,且每4000ms重新設定一次時間;
5、修改當前進程的令牌許可權,複製%System32%\spoolsv.exe到%Windir%\Tasks\poolsv.ext;修改%Windir%\Tasks\poolsv.ext,將最後一個節(.rsrc)節名改為.wycao,並在該節尾部寫入病毒代碼,複製%System32%\spoolsv.exe到%System32%\dllcache\spoolsv.exe,移動%System32%\spoolsv.exe到%Windir%\Tasks\poolsv.brk移動修改後的%Windir%\Tasks\poolsv.ext到%System32%\spoolsv.exe,移動成功後退出,否則刪除檔案%System32%\spoolsv.exe;移動修改後的%Windir%\Tasks\poolsv.ext到%System32%\spoolsv.exe;
6、查找進程列表如果有avp.exe、kvsrvxp.exe、kissvc.exe進程,將其結束;
7、判斷進程中是否有explorer.exe1進程,若存在使其崩潰;
8、創建執行緒連線網路下載35個病毒檔案,一個為arp掃描工具,一個添加新用戶,其他均為盜號工具;
9、試圖創建執行緒對各類檔案進行感染,未能成功;
10、複製自身到各驅動器根目錄下,更名為MSDOS.bat,並衍生配置檔案autorun.inf;
11、衍生zzz.sys到系統啟動器根目錄下,創建服務啟動該檔案後刪除該檔案,並將服務設定為禁用。