查看: 2779|回复: 1
收起左侧

[讨论] 病毒警报

[复制链接]
水木
发表于 2008-4-30 12:41:15 | 显示全部楼层 |阅读模式
中国区中度风险病毒警报 - PE_CAOLYWA.D-O(WORM_AUTORUN.BSG)     近期有新病毒流行,病毒名为PE_CAOLYWA.D-O(WORM_AUTORUN.BSG),请您注意防范。
趋势科技中国在此通知您:
请密切关注PE_CAOLYWA.D-O(WORM_AUTORUN.BSG)病毒!
病毒名称:PE_CAOLYWA.D-O(WORM_AUTORUN.BSG)
传染途径:U盘   
需要的病毒码更新版本:[中国区病毒码升级到5.236.60以上 ;全球区病毒码升级到5.235.00以上]
————————————————————
紧急解救方法:
更新病毒码:
   中国区病毒码更新到5.236.60以上。
   全球区病毒码更新到5.235.00以上。
————————————————————
病毒特性:
通过修改系统时间来禁用AVP
感染spoolsv.exe ,并将系统的spoolsv.exe拷贝到%windows%\tasks\sysfile.brk
将病毒文件拷贝到%windows%\tasks\0x01xx8p.exe
关闭以下进程:avp.exe kvsrvxp.exe kissvc.exe
感染文件被执行时,会将病毒母体释放到%windows%\windows.ext,并运行
病毒会释放一个zzz.sys的驱动,并运行
————————————————————
该病毒的主要文件清单及相关功能:
Msdos.bat (14kb左右
%windows%\tasks\0x01xx8p.exe
%windows%\windows.ext
从网上下载配置文件,保存为%system%/windows.txt,并根据配置文件,可能实现以下功能:
在根目录创建autorun.inf ,启动msdos.bat
感染以下扩展名的网页文件:.do .htm .html .shtm .shtml .asp .aspx .php .jsp .cgi .xml,插入的代码在配置文件中确定
删除.gho扩展名的文件
感染除windows目录,系统盘 program files目录外,其他目录下所有扩展名为 .exe .bat .cmd .com .scr的PE文件
访问配置文件中指定的网页
通过网络请求,将计算机名发送到配置文件中指定的网址

兴琚
发表于 2008-4-30 21:35:54 | 显示全部楼层
改时间病毒比较好玩
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 16:49 , Processed in 0.125635 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表