病毒介绍:
W32.Fusic@mm蠕虫病毒将其本身复制到电子邮件中,并通过MAPI信息向Windows地址簿中的所有联系人发送带毒邮件,感染长度是212992字节、24576字节或69632字节。此病毒感染安装有Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP操作系统的计算机,而不会感染安装有Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux操作系统的计算机。
1.此病毒可以更改用户系统注册表。
2.通过用户的击键来拦截机密信息。
3.此病毒发送的电子邮件可以随机选取下列主题中的一个:
题目: To be my friend?
正文: To be my friend?Please look at my photos in the attachment
附件:My introduction and photos.exe
题目:resume
正文: Please look at my resume
附件: My resume.exe
题目:Funny movie
正文: Funny flash movie
附件:Funny movie.exe
题目:Document you want
正文: What you want is in the attachment
附件: Readme.exe
4.此病毒复制本身到%system%\Kernel\Kernel32.exe,并且创建文件:%system%\FuncDLL.dll和%system%\IEHelper.dll。其中,%system%是个变量,此蠕虫病毒会自动查找系统文件夹,默认的是C:\Windows\System (Windows 95/98/Me),C:\Winnt\System32 (Windows NT/2000)和C:\Windows\System32 (Windows XP)。
这两个文件是此病毒拦截击键信息的。FuncDLL.dll文件通过勾住键盘信息来拦截用户的按键情况。IEHelper.dll文件用来处理在浏览器中输入数据产生的IE信息。并且这两个文件都能够将所拦截的数据及URL地址存放到%system%\Passlogx.log文件中。
5.此病毒创造键值:
kernel %system%\kernel\kernel32.exe
到注册表编辑器:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中,使得机器启动时病毒就会自动运行。
6.此病毒也创造下面的两个注册表键;
HKEY_LOCAL_MACHINE\SOFTWARE\kernel
HKEY_LOCAL_MACHINE\SOFTWARE\kernel\A09b37xz
并且在其中的键值中包含有所储存的内部配置信息。
7.如果用户的计算机上安装的是Windows 95/98/Me操作系统,那么此病毒能够记录其本身的活动过程,只有在用户关闭计算机时才能结束其活动。
8.此病毒能够释放出一个勾子程序以监控系统的键盘及鼠标信息,并且将获得的信息传送给勾子链中另一个勾子程序。
9.如果在机器中安装有勾子程序,此病毒就会执行远程客户端的指令,这些指令可能让黑客做下列的操作:
(1)发送系统及网络信息给黑客
(2)停止进程
(3)通过用户的击键来拦截机密信息
10.此病毒可以利用其本身的MAPI向外发送邮件,然后检查Locale ID,如果不是中文,就发送带毒邮件;如果Locale ID是中文,病毒就会将邮件翻译成中文。
解决方案:
1.及时升级杀毒软件,之后认真在整个硬盘上查杀此病毒,彻底清除掉查到的W32.Fusic@mm蠕虫病毒。
2.到注册表编辑器:
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中将键值:
kernel %system%\kernel\kernel32.exe清除。
(2)将注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\kernel
HKEY_LOCAL_MACHINE\SOFTWARE\kernel\A09b37xz删除。
|
|
