| 本月文章推荐 |
Worm.Lehs发表日期:2007-12-23
|
|
病毒名称:
Worm.Lehs
类别: 蠕虫病毒
病毒资料:
破坏方法:
VB写的病毒,通过Outlook发送邮件传播。 病毒伪装成微软的RPC DCOM漏洞的补丁,发送的邮件可能包含如下内容: "Microsoft Corporation has issued a patch for the DCOM RPC vulnerability. The patch can be downloaded below named patch883653.exe. This patch will patch your computer from the rpc eXPloit recently used by W32.Blaster.Worm. Thank you for your time and coorporation. " 病毒可能复制的目录和文件名为: C:\Windows\System\Sysrestore\Restoreshell.exe C:\Windows\system32\Sysrestore\Shell.exe C:\Windows\system32\Sysrestore\MSIinstall.exe C:\Windows\system32\Sysrestore\WINcom.exe C:\Windows\system32\Sysrestore\KERNEL32.exe C:\Windows\system32\Sysrestore\Notepad.exe C:\Windows\system32\Sysrestore\Kern16.exe C:\Windows\system32\Sysrestore\Win-16_BIT.exe C:\Windows\System\Sysrestore\MSIshell.exe C:\Windows\System\Sysrestore\WIN_16-Bit.exe C:\Windows\System\Sysrestore\Kernel32.exe C:\Windows\System\Sysrestore\KERNEL32.dll C:\Windows\System\Sysrestore\Notepad.exe C:\Windows\System\Sysrestore\MSIinstall.exe C:\Windows\System\Sysrestore\Windows.exe C:\Windows\System\Sysrestore\reInstall.exe C:\Windows\System\Sysrestore\MicroPackage.exe C:\Windows\System\Sysrestore\Dage.exe C:\Windows\System\Sysrestore\Gadeth.exe C:\Windows\System\Sysrestore\Ndad.exe C:\Windows\System\Sysrestore\Patch.exe C:\Windows\System\Sysrestore\Patchda82653.exe C:\Windows\System\Sysrestore\Patch8ba82653.exe C:\Windows\System\Sysrestore\Patch882he653.exe C:\Windows\System\Sysrestore\Patch882ad653.exe C:\Windows\System\Sysrestore\Patch88a2653.exe C:\Windows\System\Sysrestore\Patch88gadh2653.exe C:\Windows\System\Sysrestore\Patch8826ad53.exe C:\Windows\System\Sysrestore\Patch882hae653.exe C:\Windows\System\Sysrestore\Patch8822d653.exe C:\Windows\System\Sysrestore\Patch8a82653.exe C:\Windows\System\Sysrestore\Patch8agd82653.exe C:\Windows\System\Sysrestore\Patch8da82653.exe C:\Windows\System\Sysrestore\Patch88ba2653.exe C:\Windows\System\Sysrestore\Patch88asdf2653.exe C:\Windows\System\Sysrestore\Patch88abad2653.exe C:\Windows\System\Sysrestore\Patch882da653.exe C:\Windows\System\Sysrestore\Patch88ads2653.exe C:\Windows\System\Sysrestore\Patch8826da53.exe C:\Windows\System\Sysrestore\Patch88265ba3.exe C:\Windows\System\Sysrestore\Patch8826a53das.exe C:\Windows\System\Sysrestore\Patch8826fasd53ds.exe C:\Windows\System\Sysrestore\Patch882abd653.exe C:\Windows\System\Sysrestore\Patch8826nda53.exe C:\Windows\System\Sysrestore\Patch88wa2653.exe C:\Windows\System\Sysrestore\Patch88265bad3.exe C:\Windows\System\Sysrestore\Patch88265bna3.exe C:\Windows\System\Sysrestore\Patch88265ad3.exe C:\Windows\System\Sysrestore\Patch88265adsf3.exe C:\Windows\System\Sysrestore\Patch88sd2653.exe C:\Windows\System\Sysrestore\Patch882ban653.exe C:\Windows\System\Sysrestore\Patch8826adwe53.exe C:\Windows\System\Sysrestore\MTK.exe C:\Windows\System\Sysrestore\Splinter.exe C:\Windows\System\Sysrestore\{927982-2356-0042-25}HKEY.exe C:\Windows\System\Sysrestore\Bin.exe等 它还将在c:\下生成如下名字的空目录: C:\blak C:\prune C:\ad C:\ablak C:\bhblak C:\blaadk C:\blaadadk C:\blaeak C:\bla dsak C:\blabadwtk C:\blwety32ak C:\bl346ak C:\blnaak C:\bl32hadak C:\bl2ak C:\blay23k C:\blhah3ak C:\bln33425ak C:\bwetlak C:\blasdak C:\basdlak C:\blhaak C:\blahadewk C:\blahsak C:\bnclaks C:\blacvnk C:\blnaedak C:\blwerak C:\blaweeaak 病毒将修改AUTOEXEC.BAT文件,加入一行: Start %SystemRoot%\Sysrestore\Notepad.exe 文件:Notepad.exe就是病毒本身 病毒还将释放一个文件: MSDOS_3.Bat,用来对下列网站进行攻击: www.norton.com http://securityresponse.symantec.com win.ini [windows] run=%SystemRoot%\Sysrestore\Notepad.exe 病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。 发现日期: 2003-9-12 |
| 上一篇:Worm.Win32.Deborm.h
人气:431 下一篇:Worm.Win32.Deborm.b 人气:396 |
| 浏览全部病毒数据库的内容
Dreamweaver插件下载 网页广告代码 祝你圣诞节快乐 2009年新年快乐 |
