Worm.VB.as.65536

  病毒名称(中文):
  MSN后门制造者65536
  病毒别名:
  
  
  威胁级别:
  ★☆☆☆☆
  病毒类型:
  黑客程序
  病毒长度:
  65536
  影响系统:
  Win9xWinMeWinNTWin2000WinXPWin2003
  
  病毒行为:
  这是一个通过MSN传播的蠕虫后门。该病毒用VB语言编写,假如进入用户电脑,会复制大量的副本到系统内,同时在注册表内添加多个启动项确保自身随系统启动。站稳脚跟后建立后门,为黑客入侵提供便捷。
  1.该病毒运行后释放大量的病毒副本到系统各目录中,具体如下:
  %Windir%\dc.exe
  %Windir%\Help\Other.exe
  %Windir%\inf\Other.exe
  %Windir%\SVIQ.EXE
  %Windir%\system\Fun.exe
  %System%\WinSit.exe
  %System%\config\Win.exe
  %System%\Penx.dat(空文件)
  %System%\Xpen.dat(空文件)
  如存在文件%Windir%\wininit.ini,在该文件中添加字符NUL=%Windir%\Help\Other.exe
  ,用于重启后删除%Windir%\Help\Other.exe。
  2.为下列文件新建进程:
  %Windir%\system\fun.exe
  %Windir%\sviq.exe
  %Windir%\dc.exe
  3.新建注册表如下项:
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
  dc2k5="%Windir%\SVIQ.EXE
  Fun="%Windir%\system\Fun.exe
  dc="%Windir%\dc.exe
  SVIQ.EXE,Fun.exe,dc.exe随系统启动。
  HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
  run="%System%\config\Win.exe
  修改如下注册表键值:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
  Shell="Explorer.exe%System%\WinSit.exe
  WinSit.exe随系统启动。
  HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
  load="%Windir%\inf\Other.exe
  Other.exe随系统启动。
  4.系统如下端口连接指定地址
  1042TCPFun.exe(%Windir%\system\Fun.exe)
  1043UDPFun.exe(%Windir%\system\Fun.exe)
  连接地址http://www.*******.cn/tIyn***jhg/pasnt.asp(1*2.*.2.*),端口80。本地端口号在一定范围内随机。
  5.病毒监视系统内MSN运行情况,向MSN好友发送病毒副本传播自身。