| | |
大无极变种D病毒档案
|
|
| 时间:2003-7-16 8:27:07 |
| |
警惕程度:★★★☆
发作时间:随机
病毒类型:蠕虫病毒
传播方式:局域网/邮件
感染对象:邮件
依赖系统: WIN9X//NT/2000/XP
病毒介绍:
大无极变种D(Worm.SoBig.d)病毒于6月19日被瑞星全球反病毒监测网截获,该变种是大无极病毒家族的第4代成员,在病毒编写技术上虽然同上几代病毒区别不大,但鉴于大无极变种B版和C版等变种已经在网络上小范围泛滥,如果不及时防范,该变种病毒很可能会使系统再次面临被病毒感染的威胁。
病毒特性:
一、拷贝自身到windows目录
病毒会将自身拷贝到%Windir%目录中(默认为:c:\windows或c:\winnt),并命名为: Cftrb32.exe,然后建立两个配置文件: dftrn32.dat 、rssp32.dat。
二、 修改注册表自启动。
病毒运行时会修改注册表的自启动项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,在其中添加一个名为:"SFtrb Service",内容为:"%Windir%\cftrb32.exe"的键值,当系统重启时,病毒便会自动运行。
三、感染局域网中的计算机
当计算机连接在网络中时,病毒便会通过计算机连接,将自身拷贝到局域网中的其它计算机中的:Windows\All Users\Start Menu\Programs\StartUp 目录和Documents and Settings\All Users\Start Menu\Programs\Startup目录,当局域网中被感染的计算机重启时,病毒便会自动运行,在局域网中的其它计算机中激活。
四、通过邮件传播
病毒运行时还会搜索计算机中的.wab 、.dbx 、.htm 、.html 、.eml 、.txt类型的文件,在其中寻找有效的邮件地址,找到后,便生成病毒邮件,向外大量发送。
病毒邮件的标题为以下几种可能:
Re: Documents
Re: App. 00347545-002
Re: Movies
Application Ref: 456003
Re: Your Application (Ref: 003844)
Re: Screensaver
Re: Accepted
Your Application
病毒邮件的附件为以下几种可能:
Document.pif
app003475.pif
movies.pif
ref_456.pif
Application844.pif
Screensaver.scr
Accepted.pif
Applications.pif
Application.pif
|
|
|
|
·上一条:网络难平静,大无极新变种又现 (7-16)
·下一条:劳拉(Win32.Xorala)病毒档案 (7-16)
|
| |
|
|
|
|
|
|
|
|
|
| | | |
当前位置:铁通呼伦贝尔信息港
> 网络学院
> 阅读新闻 