該病毒釋放一個DLL檔案,並嘗試將該DLL替換掉系統檔案wsock32.dll,當中毒機器訪問網路的時候,病毒就開始發作,病毒蒐集用戶機器上的郵件地址,將自身作為隨機檔案名稱的附屬檔案的傳送出去,以感染更多機器。
基本介紹
- 外文名:Worm.Hybris.b
- 威脅級別:★★
- 病毒類型:蠕蟲
- 影響系統:Win9x / WinNT
釋放位置,註冊表信息,
釋放位置
該病毒釋放DLL檔案到系統目錄%system32%\NMIGBELN(Worm.Win32.Hybris,大小與wsock32.dll的大小相關)。該檔案是病毒體的一部分和wsock32.dll的合併體。
註冊表信息
在Win9X系統中修改系統檔案WININIT.INI:
[Rename]
C:\WINDOWS\SYSTEM\WSOCK32.DLL=C:\WINDOWS\SYSTEM\NMIGBELN
在WinNT系統中修改註冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
"PendingFileRenameOperations"=hex(7):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,\
57,00,49,00,4e,00,4e,00,54,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,\
00,32,00,5c,00,4e,00,4d,00,49,00,47,00,42,00,45,00,4c,00,4e,00,00,00,5c,00,\
3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,4e,00,54,00,5c,00,53,\
00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,57,00,53,00,4f,00,43,00,\
4b,00,33,00,32,00,2e,00,44,00,4c,00,4c,00,00,00,00,00
以將釋放的檔案NMIGBELN替換系統檔案WSOCK32.DLL。替換成功以後,病毒DLL替代了原始WSOCK32.DLL的以下API函式:
connect
send
recv
當有程式調用這幾個API函式時,病毒即開始發作。病毒將自身作為隨機檔案名稱的附屬檔案的傳送出去,以感染更多機器。病毒傳送的郵件的主題以白雪公主和七個小矮人相關內容為多。
