危险等级:★★★
病毒名称:Worm.Win32.VB.mq
截获时间:2007-9-13
入库版本:19.19.42
类型:病毒
感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况:
传播级别:高
全球化传播态势:低
清除难度:困难
破坏力:高
破坏手段:隐藏其他恶意程序
技术细节:
这是一个Virutal Basic编写的蠕虫病毒,用UPX加壳程序进程保护。
该病毒运行后,首先把自身复制在All User的启动文夹中更名为startup.bat并运行(如:C:\Documents and Settings\All Users\「开始」菜单\程序\启动).
接着病毒还会将自身复制到多个系统目录中,路径为%Windir%,子目录名从下列路径名为随机抽取(\system,\web,\fonts,\temp,\help)文件名在下列文件名中随机抽取(winlogon.exe,csrss.exe,
taskmgr.exe,lsass.exe,smss.exe,svchost.exe,internat.exe,spoolsv.exe,conime.exe)
病毒会将自身更名为下列三个文件名称regedit.exe,notepad.exe,msconfig.exe,并复制到%SYSTEM32%目录中,替换已经存在的正常文件(regedit.exe,msconfig.exe),并将正常的regedit.exe,msconfig.exe复制到%WinDir%目录中备用,用户在执行这三个程序的同时必定会使病毒也执行起来.
病毒会修改注册表项,达到隐藏文件的目的.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced"HideFileExt" = 0X00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced"Hidden" = 0X00000000
病毒会执行下列命令,使中毒计算机完全暴露在网络中,便于病毒作者进行其它的操作.
如:
cmd /c net share C$=c:\
cmd /c net share D$=d:\
将计算机的C盘和D盘共享.
cmd /c net user admin /add
添加一个"admin"的用户
cmd /c net localgroup administrators admin /add
将"admin"的用户加入到本地的administrators组中,得到最大的控制权
病毒遍历本地所有存储设备,向可移动存储设备中,写入病毒本身(名字改为"command.com") 和autorun.inf.其中autorun.inf的内容为:
[autorun]
OPEN=Comand.com
Shellexecute=comand.com
Shell\explorer\command=comand.com
病毒在遍历本地存储设备的同时,会在本地所有硬盘的根目录中复制一个和目录名相同的病毒文件,迷惑用户.
总结:这个病毒具有较大的破坏性和传播性,其文件图标为Windows系统的文件夹图标,用户非常容易受到迷惑,轻易点击该病毒.该病毒还会将用户常用的一些文件进行替换,使用户在不知不觉中,就可以中招,十分阴险.另外该病毒还可以通过移动设备进行传播.
