Worm.Relphot_病毒数据库

病毒名称: Worm.Relphot 类别：蠕虫病毒病毒资料：      破坏方法：

    一个蠕虫病毒,采用FSG压缩

    病毒行为:

    病毒将自己复制两份复本到％windows％目录下,文件名为:regedit.com及netstat.com因为在MS-DOS框下运行程序,操作系统将先启动后缀名为.com的程序.当用户运行regedit和netstat时病毒将被执行同时病毒还将自己复制一份到％windows％\web目录下,文件名为:svchost.exe并在system.ini的
    boot节shell项中加入％windows％\web\svchost.exe以达到随系统启动目的。

    病毒遍历系统目录,当病毒发现目录名中带有以下字串时"grokste","downloa","incomin"
    "shar"病毒将向其目录中复制自己的复本.
    文件名为:"Virtual Girls.scr","Blade-XP (Theme).scr"
    "WinXP SP3 crack.com","MS Office XP-crack.com"

    病毒释放一个名为:jpdrop.jpg的文件到％system％目录(是一张色情图片.),并从注册表中获取系统当前wab文件路径。打开wab文件,尝试从中提取email地址向其发送病毒邮件.

    黑名单:

    病毒遍历系统进程列表,当病毒发现有进程名中带有体内"黑名单"字串时将结束该进程.病毒体内的黑名单.
    escanhnt.
    ewall.
    guard.
    ccapp.
    blackd.
    sphinx.
    maniac.
    protect
    synmgr.
    blackice
    fiaudit.
    systra.
    upgrade
    update
    alarm
    winit.
    symantec
    gate
    McAfee
    luall.
    dec25.
    svchosl.
    ...


    病毒在每次文件操作前结束名为:regmon.,filemon的进程.

    后门:

    病毒监听8297端口以实现一个上传后门,病毒作者可以利用这个端口向中毒系统上传文件并执行.
    病毒将收到的文件存在％system％目录下,文件名为:winlogins.exe

    邮件传播:

    病毒遍历系统中以下扩展名的文件,并尝式从中提取email地址,向其发送病毒邮件传播.

    'shtm'
    'dhtm'
    'mmf'
    'eml'
    'xls'
    'XML'
    'uin'
    'tbb'
    'dbx'
    'doc'
    'htm'
    'adb'
    'txt'
    'rec'
    ....

    病毒将跳过email地址中带有以下字串的email地址(不向其发送病毒邮件)

    mydomai
    foo.
    iruslis
    .hlp
    nodomai
    hotmail
    software.
    icrosoft
    kASPersky
    anyone
    mozilla
    sendmail
    sopho
    syman
    bitdef
    Linux
    neohapsis
    guninski
    podpiska
    Delphiworld
    accoun
    listserv
    antivir
    admin
    site
    webmaney
    where
    ...

    邮件标题:

    How are you?!
    Hello :)
    ...
    邮件正文:

    Sorry, has forgotten your e-mail,only today has found,

    as promised I send the new photos.
    Up to a meeting, kiss you.
    Hello, as have agreed I send the my new photos.
    This are my new photos... Bye.

    附件名:

    my_1.scr,
    Girl_01.scr,
    my_2.jpeg,
    Girl_02.jpeg....
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ：      Windows下的PE病毒。
发现日期： 2005-1-11