病毒名称:
Worm.PSW.CqSys.enc
类别: 蠕虫病毒
病毒资料:
破坏方法:
这是恶意网站http://flash2.***533.net传播出来的病毒,集网络传播和偷传奇密码于一体。
病毒大小:11184
1.用户浏览上述网址,如果系统存在漏洞,网页上的恶意代码下载病毒程序"b.sys"到用户机器中,并修改注册表项 "HKCR\.sys",使"b.sys"像正常EXE文件那样运行起来。
2.病毒释放自身拷贝为c:\cmd.exe,属性为只读、隐藏。
覆盖系统文件%SYSTEM%\rundll32.exe 对于win2000和winXP用户,系统文件保护程序会弹出对话框,提示系统文件已经被修改。
3. 修改注册表。
HKEY_CLASSES_ROOT\exefile\shell\open\command
(默认) : C:\cmd.exe %1 %* -->
当用户运行任何程序都会激活病毒。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run
LoadPowerProfile : %SYSTEM%\Rundll32.exe
4.局域网传播。
病毒枚举注册表下列键,
Software\Microsoft\Windows\CurrentVersion\Network
\LanMan
取得所有共享路径,在每个路径下释放两份自身拷贝,分别为“病毒专杀.exe”和“周杰伦演唱会.exe”。
这两个名称很具有诱惑性,很容易使网络上的用户下载运行,加快感染速度。
5.病毒疯狂地查找下列窗口
legend of mir2
赤月传奇1065
"传奇客户端"
"西部圣域VI(47区)"
取得密码后保存到"C:\cqsys.sys",通过邮件服务器 "202.106.182.141" 发送到指定邮箱。
6.查找聊天窗口,在消息末尾追加下列消息
“ 向你介绍一个好看的动画网:http://flash2.***533.net”
如果用户感染上述病毒,说明您的系统存在漏洞,请给系统打上相应最新的补丁。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-11-5
|
