病毒发送的Email有下列特征:
From:"Microsoft"
标题:Use this patch immediately !
消息:Dear friend , use this Internet EXPlorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
附件: patch.exe
病毒一旦执行,将复制文件到如下目录:
%Windir%\dllreg.exe
%System%\load32.exe
%System%\vxdmgr32.exe
在下列目录生成一个文件:
%Windir%\windrv.exe,这是一个IRC木马文件,执行后将连接到指定的IRC服务器,加入一个指定的channel,等待其host的指令。
病毒也生成一个文件:
%Windir%\winload.log,这是病毒用来保存Email地址的记录文件.
病毒将从下列扩展名的文件中搜索Email地址:
.htm
.wab
.Html
.dbx
.tbb
.abd
破坏方法:
1.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\Load32
"%Windir%\load32.exe"
2.win.ini
[windows]
run=%Windir%\dllreg.exe
system.ini
[boot]
shell=explorer.exe %System%\vxdmgr32.exe
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2003-8-15
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
