Win32.SillyFDC.BB要生成诡异文件
Win32.SillyFDC.BB病毒名称:Win32.SillyFDC.BB
类别:Win32
类型:蠕虫
别称:W32.SillyDC (Symantec), W32/SillyFDC-H (Sophos), WORM_SMALL.HYN (Trend), Virus.Win32.Small.r (Kaspersky), Virus:Win32/Small.R (MS OneCare), W32/Trojan5.HKA (F-Secure)
疯狂性:低
破坏性:中
普及度:中
Win32.SillyFDC.BB病毒特性:
Win32/SillyFDC.BB 是一种通过移动驱动器进行传播的蠕虫。
Win32.SillyFDC.BB感染方式
运行时,Win32/SillyFDC.BB通过查询系统的%System%文件夹来决定复制病毒的位置。随后删除路径名称的最后两个数字,并复制"svchost.exe"到这个新的位置,文件的属性是隐含的只读的系统属性。例如:Windows 2000 系统默认的System 目录是C:\Winnt\System32。如果蠕虫运行在Windows 2000 系统上,蠕虫就会复制到C:\Winnt\System\svchost.exe。
蠕虫还会生成以下注册表键值,为了在每次系统启动时通过Winlogon服务运行病毒:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = "userinit.exe,%System%<last two digits removed>\svchost.exe"
注:%System%是一个可变的路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows 2000 and Windows NT默认的系统安装路径是C:\Winnt\System;Windows 95、Windows 98 和Windows ME 的是C:\Windows\System;Windows XP 的是C:\Windows\System。
传播方式
通过移动驱动器传播
Win32/SillyFDC.BB搜索被感染系统上的移动驱动器,例如USB驱动器。
当它找到一个移动驱动器时,会生成"RECYCLER"文件夹,并在这个文件夹中生成以下文件,文件属性为隐含,只读,系统,存档属性:
protector.exe autorun.inf
蠕虫使用"autorun.inf",为了在驱动器被访问的时候运行病毒。
转载地址;http://technic.i8cn.com/news4272.htm
| 欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com |
关注天下网吧微信,了解网吧网咖经营管理,安装维护:
本文来源:i8cn 作者:佚名
天下网吧·网吧天下
闽公网安备35010202000238号