基本介紹
影響系統,病毒行為,
影響系統
Win9x / WinNT
病毒行為
1. 病毒體採用圖片圖示,被點擊運行後,會彈出圖片編輯器運行界面。而實際上病毒體已將自身
拷貝到%system%資料夾下,命名為winshot.exe,並釋放另一個動態鏈結檔案wiwshost.exe。
2. 病毒修改註冊表添加如下啟動項,使winshot.exe能夠開機運行:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winshost.exe" = "%system%\winshost.exe"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winshost.exe" = "%system%\winshost.exe"
3. wiwhost.exe實際上是一個動態鏈結檔案,它被注入到explorer.exe進程中,不但修改hosts檔案,
還嘗試關閉多種正在運行的安全進程,然後開啟多個執行緒,這些執行緒包括:
Symantec
NAV
McAfee
KasperskyLab
Agnitum
Panda Software
Zone Labs
KAV50
ii) 遍歷硬碟;
iii) 結束以下安全進程的升級程式:
NUPGRADE.EXE
MSUPDATE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ISCUPP95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
UPGRADER.EXE
AVXQUAR.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
iv) 從多個網址下載名為"o**3.gif"的檔案,將其拷貝到%windir%目錄下,命名為_re_file.exe,
然後運行這個可執行程式,這個程式會傳送大量垃圾郵件,實現病毒的傳播。
